LDAP-Konfigurationsreferenz

Dieses Thema enthält eine Beschreibung aller LDAP-bezogenen Konfigurationsoptionen. Der von Ihnen angegebene Optionsname ist von dem Tool abhängig, das Sie zum Konfigurieren von LDAP verwenden:

  • configEntities: Die Optionen werden mit einer JSON-Datei festgelegt, wie unter identityStore-Entität beschrieben. Die von Ihnen als configEntities eingegebenen Werte werden vor dem Speichern validiert.

  • tsm-Befehlszeile: Die Optionen werden mithilfe des tsm-Befehlszeilentools festgelegt, wie unter tsm user-identity-store beschrieben. Die von Ihnen per tsm-Befehlszeile eingegebenen Werte werden vor dem Speichern validiert.

  • configKey: Die Optionen werden durch Ausführung von tsm configuration set-Optionen festgelegt. Alternativ können Sie in eine JSON-Konfigurationsdatei einbezogen werden, wie unter Beispiel für eine Konfigurationsdatei beschrieben. Wenn Sie eine Option mit einem configKey festlegen, wird der von Ihnen eingegebene Wert direkt in die zugrundeliegende YML-Konfigurationsdatei kopiert. Der Wert wird von Tableau Server nicht validiert. Aus diesem Grund wird empfohlen, configKeys nur dann zu verwenden, wenn keine Option zum Festlegen der Konfiguration mit configEntities, der tsm-Befehlszeile oder der TSM-Webschnittstelle vorhanden ist.

Wenn Sie Tableau Server für die Verwendung von Active Directory konfigurieren, wird empfohlen, die TSM-Webschnittstelle für die Installation zu verwenden. Die TSM-Webschnittstelle ist dafür optimiert, Tableau Server mit minimalem Eingabeaufwand für Active Directory zu konfigurieren. Weitere Informationen finden Sie unter Konfigurieren der Einstellungen für den ursprünglichen Knoten.

Erwägen Sie die Verwendung des Konfigurationstools für Tableau-Identitätsspeicher für das Generieren Ihrer LDAP-JSON-Konfigurationsdatei. Das Konfigurationstool für Tableau-Identitätsspeicher wird außerdem eine Liste mit Schlüssel/Wert-Paaren generieren, die Sie über den Befehl tsm configuration set-Optionen festlegen können. Das Tool selbst wird von Tableau nicht unterstützt. Jedoch wirkt es sich nicht auf den unterstützten Status Ihres Servers aus, wenn Sie die verwendete JSON-Datei nicht manuell, sondern mithilfe des Tools erstellen.

configEntities

(Bei Optionen ist die Groß-/Kleinschreibung zu beachten)

tsm-Befehlszeilenschnittstelle configKey Szenario

Hinweise

type k. A. wgserver.authenticate AD, LDAP, lokal

Speicherort der Identitätsinformationen. Werte: local oder activedirectory.

Wenn Sie eine Verbindung mit einem beliebigen LDAP-Server herstellen möchten, geben Sie activedirectory ein.

sslPort k. A. wgserver.domain.ssl_port AD, LDAP Verwenden Sie diese Option zum Angeben des sicheren Ports des LDAP-Servers. Es wird empfohlen, sicheres LDAP für eine einfache Bindung zu verwenden. LDAPS wird normalerweise über Port 636 geleitet,
port k. A. wgserver.domain.port AD, LDAP Verwenden Sie diese Option zum Festlegen des nicht sicheren Ports des LDAP-Servers. Für Klartext ist dies in der Regel der Port 389.
domain domain wgserver.domain.default AD, LDAP

Geben Sie in Windows Active Directory-Umgebungen die Domäne an, in der Tableau Server installiert ist, beispielsweise "example.lan". Geben Sie in LDAP-Verzeichnissen den Namen der Stammdomäne im selben Format an. Geben Sie "my.root" an, wenn Ihr Stamm beispielsweise "dc=my,dc=root" lautet.

Wenn für Ihren Stamm keine dc-Komponente verwendet wird, sehen Sie sich im Folgenden die configEntity-Root-Option an.

tsm-Befehlszeile: Verwendet den Befehl tsm user-identity-store set-connection [Optionen].

username ldapusername wgserver.domain.username AD, LDAP

Der Benutzername, mit dem Sie eine Verbindung zum Verzeichnisdienst herstellen möchten.

Das angegebene Konto muss über die Berechtigung verfügen, Abfragen an den Verzeichnisdienst zu senden.

Geben Sie für Active Directory den Benutzernamen ein, z. B. jsmith.

Für LDAP-Server geben Sie den definierten Namen (DN) des Benutzers ein, den Sie zum Herstellen der Verbindung verwenden möchten. Beispiel: "cn=jsmith,dc=example,dc=lan".

tsm-Befehlszeile: Verwendet den Befehl tsm user-identity-store set-connection [Optionen].

Kennwort ldappassword wgserver.domain.password AD, LDAP

Das Kennwort des Benutzerkontos, mit dem Sie eine Verbindung zum LDAP-Server herstellen.

tsm-Befehlszeile: Verwendet den Befehl tsm user-identity-store set-connection [Optionen].

directoryServiceType k. A. wgserver.domain.directoryservice.type AD, LDAP

Der Typ des LDAP-Verzeichnisdiensts, zu dem Sie eine Verbindung herstellen möchten. Werte: activedirectory oder openldap.

kerberosPrincipal kerbprincipal wgserver.domain.ldap.principal AD, LDAP

Der Dienstprinzipalname für Tableau Server auf dem Hostcomputer. Die Keytab-Datei benötigt Berechtigungen für diesen Prinzipal. Verwenden Sie für das System keine bereits vorhandene Keytab-Datei. Stattdessen wird empfohlen, einen neuen Dienstprinzipalnamen zu registrieren. Wenn Sie die Prinzipale für eine bestimmte Keytab-Datei anzeigen möchten, führen Sie den Befehl klist -k aus. Siehe Einführung in keytab-Anforderungen.

tsm-Befehlszeile: Verwendet den Befehl tsm user-identity-store set-connection [Optionen].

hostname hostname wgserver.domain.ldap.hostname AD, LDAP

Der Hostname des LDAP-Servers. Sie können einen Hostnamen oder eine IP-Adresse für diesen Wert eingeben.

tsm-Befehlszeile: Verwendet den Befehl tsm user-identity-store set-connection [Optionen].

membersRetrievalPageSize k. A. wgserver.domain.ldap.members.retrieval.page.size AD, LDAP

Mithilfe dieser Option wird die maximale Anzahl Ergebnisse bestimmt, die von einer LDAP-Abfrage zurückgegeben werden.

Stellen Sie sich beispielsweise ein Szenario vor, in dem Tableau Server eine LDAP-Gruppe mit 50.000 Benutzern importiert. Es wird nicht empfohlen, eine so hohe Anzahl Benutzer in einem einzelnen Vorgang zu importieren. Wenn diese Option auf 1500 festgelegt ist, importiert Tableau Server die ersten 1500 Benutzer in der ersten Antwort. Nach der Verarbeitung dieser Benutzer fordert Tableau Server die nächsten 1500 Benutzer vom LDAP-Server an usw.

Es wird empfohlen, diese Option nur gemäß den Anforderungen Ihres LDAP-Servers zu ändern.

k. A. k. A. wgserver.domain.ldap.connectionpool.enabled AD, LDAP Wenn diese Option auf true festgelegt ist, versucht Tableau Server, beim Senden von Abfragen an den LDAP-Server dieselbe Verbindung erneut zu verwenden. Durch dieses Verhalten wird der Mehraufwand einer erneuten Authentifizierung bei dem LDAP-Server für jede neue Anfrage reduziert. Das Verbindungspooling funktioniert nur für Verbindungen mit einzelner Bindung und TSL/SSL-Bindung. Für Verbindungen mit GSSAPI-Bindung wird das Verbindungspooling nicht unterstützt.
kerberosConfig

kerbconfig

Keine direkte Zuordnung AD, LDAP

Der Pfad der Kerberos-Konfigurationsdatei auf dem lokalen Computer Wenn Sie die Installation in Active Directory durchführen, wird von der Verwendung der vorhandenen Kerberos-Konfigurationsdatei oder Keytab-Datei, die möglicherweise bereits auf dem Computer vorhanden ist, der der Domäne beigetreten ist, abgeraten. Siehe Identitätsspeicher.

tsm-Befehlszeile: Verwendet den Befehl tsm user-identity-store set-connection [Optionen].

kerberosKeytab kerbkeytab Keine direkte Zuordnung AD, LDAP

Der Pfad der Kerberos-Keytab-Datei auf dem lokalen Computer Es wird empfohlen, dass Sie eine Keytab-Datei mit Schlüsseln erstellen, die nur für den Tableau Server-Dienst vorgesehen sind, und die Keytab-Datei nicht für andere Anwendungen auf dem Computer verwenden.

tsm-Befehlszeile: Verwendet den Befehl tsm user-identity-store set-connection [Optionen].

nickname k. A. wgserver.domain.nickname AD

Der Kurzname der Domäne. Dieser wird in Windows/Active Directory-Umgebungen auch als NetBIOS-Name bezeichnet. Die Option nickname ist für alle LDAP-Entitäten obligatorisch. Wenn für Ihre Organisation kein Spitzname/NetBIOS erforderlich ist, können Sie einen leeren Schlüssel weitergeben, beispielsweise: "".

root k. A. wgserver.domain.ldap.root LDAP Wenn Sie im LDAP-Stamm keine DC-Komponente verwenden oder Sie einen komplexeren Stamm angeben möchten, müssen Sie den LDAP-Stamm festlegen. Verwenden Sie das Format "o=my,u=root". Für die Domäne example.lan würde der Stamm beispielsweise "o=example,u=lan" lauten.
serverSideSorting k. A. wgserver.domain.ldap.server_side_sorting LDAP Gibt an, ob der LDAP-Server für die serverseitige Sortierung von Abfrageergebnissen konfiguriert ist. Wenn Ihr LDAP-Server die serverseitige Sortierung unterstützt, legen Sie diese Option auf true fest. Wenn Sie nicht sicher sind, ob Ihr LDAP-Server dies unterstützt, geben Sie false ein, da eine falsche Konfiguration Fehler verursachen kann.
rangeRetrieval k. A. wgserver.domain.ldap.range_retrieval LDAP Gibt an, ob der LDAP-Server so konfiguriert ist, dass er für eine Aufforderung eine Reihe von Abfrageergebnissen zurückgibt. Demnach werden Gruppen mit vielen Benutzern nicht auf einmal, sondern in kleinen Gruppen angefordert. Bei umfangreichen Abfragen bieten LDAP-Server, die das Abrufen von Bereichen unterstützen, eine bessere Leistung. Wenn Ihr LDAP-Server das Abrufen von Bereichen unterstützt, legen Sie diese Option auf true fest. Wenn Sie nicht sicher sind, ob Ihr LDAP-Server das Abrufen von Bereichen unterstützt, geben Sie false ein, da eine falsche Konfiguration Fehler verursachen kann.
bind k. A. wgserver.domain.ldap.bind LDAP Die Art und Weise, wie Sie die Kommunikation zum Verzeichnisdienst sichern möchten. Geben Sie simple für LDAP ein, es sei denn, Sie stellen die Verbindung zum LDAP-Server mit Kerberos her. Für Kerberos geben Sie gssapi ein.
k. A. k. A. wgserver.domain.ldap.domain_custom_ports LDAP

Anmerkung: Dieser Schlüssel wird nur für Tableau Server unter Linux unterstützt.

Ermöglicht die Zuordnung von Unterdomänen und deren LDAP-Ports. Domäne und Port sind durch einen Doppelpunkt (:) getrennt und jedes Domain / Port-Paar ist durch ein Komma (,) getrennt. Dabei wird folgendes Format verwendet: FQDN1:port,FQDN2:port

Beispiel: tsm configuration set -k wgserver.domain.ldap.domain_custom_ports -v childdomain1.lan:3269,childdomain2.lan:3269,childdomain3.lan:389

distinguishedNameAttribute k. A. wgserver.domain.ldap.dnAttribute LDAP Das Attribut, das die definierten Namen von Benutzern speichert. Dieses Attribut ist optional, führt jedoch zu einer deutlichen Leistungsverbesserung bei LDAP-Abfragen.
groupBaseDn basefilter wgserver.domain.ldap.group.baseDn LDAP

Verwenden Sie diese Option, um einen alternativen Stamm für Gruppen anzugeben. Wenn beispielsweise alle Ihre Gruppen in der Basisorganisation mit der Bezeichnung "groups" gespeichert sind, geben Sie "o=groups".

tsm-Befehlszeile: Verwendet den Befehl tsm user-identity-store set-group-mappings [Optionen].

k. A. classnames wgserver.domain.ldap.group.classnames LDAP

Standardmäßig sucht Tableau Server nach LDAP-Gruppenobjektklassen, die die Zeichenfolge "group" (Gruppe) beinhalten. Wenn Ihre LDAP-Gruppenobjekte nicht dem Standardklassenname entsprechen, überschreiben Sie den Standardnamen durch Einrichten dieses Wertes. Sie können mehrere, durch Kommas getrennte Klassennamen angeben.

Wenn die Gruppennamen Kommas enthalten, müssen sie mit einem umgekehrten Schrägstrich (\) escapet werden. Wenn der Gruppenname z. B. groupOfNames, top lautet, geben Sie "groupOfNames\, top" ein.

tsm-Befehlszeile: Verwendet den Befehl tsm user-identity-store set-group-mappings [Optionen].

groupBaseFilter k. A. wgserver.domain.ldap.group.baseFilter LDAP

Der Filter, den Sie für Tableau Server-Benutzergruppen verwenden möchten. Sie können ein Objektklassenattribut und ein Organisationseinheitsattribut angeben. Beispiel:

"(&(objectClass=groupofNames)(ou=Group))"

groupName groupname wgserver.domain.ldap.group.name LDAP

Das Attribut, das den Gruppennamen auf Ihrem LDAP-Server entspricht.

tsm-Befehlszeile: Verwendet den Befehl tsm user-identity-store set-group-mappings [Optionen].

groupEmail groupemail wgserver.domain.ldap.group.email LDAP

Das Attribut, das den E-Mail-Adressen der Gruppen auf Ihrem LDAP-Server entspricht.

tsm-Befehlszeile: Verwendet den Befehl tsm user-identity-store set-group-mappings [Optionen].

groupDescription description wgserver.domain.ldap.group.description LDAP

Das Attribut, das den Gruppenbeschreibungen auf Ihrem LDAP-Server entspricht.

tsm-Befehlszeile: Verwendet den Befehl tsm user-identity-store set-group-mappings [Optionen].

member member wgserver.domain.ldap.group.member LDAP

Geben Sie das LDAP-Attribut an, das eine Liste mit definierten Namen von Benutzern enthält, die Teil dieser Gruppe sind.

tsm-Befehlszeile: Verwendet den Befehl tsm user-identity-store set-group-mappings [Optionen].

k. A. k. A. wgserver.domain.ldap.group.memberURL LDAP Geben Sie den Namen des LDAP-Attributs an, in dem die LDAP-Abfrage für dynamische Gruppen gespeichert ist.
userBaseDn k. A. wgserver.domain.ldap.user.baseDn LDAP Verwenden Sie diese Option, um einen alternativen Stamm für Benutzer anzugeben. Wenn beispielsweise alle Ihre Benutzer in der Basisorganisation mit der Bezeichnung "users" gespeichert sind, geben Sie "o=users".
k. A. classnames wgserver.domain.ldap.user.classnames LDAP

Standardmäßig sucht Tableau Server nach LDAP-Benutzerobjektklassen, die die Zeichenfolge "user" (Benutzer) und "inetOrgPerson" beinhalten. Wenn Ihre LDAP-Benutzerobjekte nicht diese Standardklassennamen verwenden, überschreiben Sie den Standardnamen durch Einrichten dieses Wertes. Sie können mehrere, durch Kommas getrennte Klassennamen angeben. Beispiel: "userclass1, userclass2".

Wenn die Namen Kommas enthalten, müssen sie mit einem umgekehrten Schrägstrich (\) escapet werden. Wenn ein Name z. B. Names, top lautet, geben Sie "Names\, top" ein.

tsm-Befehlszeile: Verwendet den Befehl tsm user-identity-store set-user-mappings [Optionen].

userBaseFilter basefilter wgserver.domain.ldap.user.baseFilter LDAP

Der Filter, den Sie für Tableau Server-Benutzer verwenden möchten. Sie können ein Objektklassenattribut und ein Organisationseinheitsattribut angeben.

Beispiel:

"(&(objectClass=inetOrgPerson)(ou=People))"

tsm-Befehlszeile: Verwendet den Befehl tsm user-identity-store set-user-mappings [Optionen].

userUsername ldapusername wgserver.domain.ldap.user.username LDAP

Das Attribut, das den Benutzernamen auf Ihrem LDAP-Server entspricht.

tsm-Befehlszeile: Verwendet den Befehl tsm user-identity-store set-user-mappings [Optionen].

userDisplayName displayname wgserver.domain.ldap.user.displayname LDAP

Das Attribut, das den angezeigten Benutzernamen auf Ihrem LDAP-Server entspricht.

tsm-Befehlszeile: Verwendet den Befehl tsm user-identity-store set-user-mappings [Optionen].

userEmail E-Mail wgserver.domain.ldap.user.email LDAP

Das Attribut, das den E-Mail-Adressen der Benutzer auf Ihrem LDAP-Server entspricht.

tsm-Befehlszeile: Verwendet den Befehl tsm user-identity-store set-user-mappings [Optionen].

userCertificate certificate wgserver.domain.ldap.user.usercertificate LDAP

Das Attribut, das den Benutzerzertifikaten auf Ihrem LDAP-Server entspricht.

tsm-Befehlszeile: Verwendet den Befehl tsm user-identity-store set-user-mappings [Optionen].

k. A. thumbnail wgserver.domain.ldap.user.thumbnail LDAP

Das Attribut, das den Benutzer-Miniaturbildern auf Ihrem LDAP-Server entspricht.

tsm-Befehlszeile: Verwendet den Befehl tsm user-identity-store set-user-mappings [Optionen].

userJpegPhoto jpegphoto wgserver.domain.ldap.user.jpegphoto LDAP

Das Attribut, das den Benutzer-Profilbildern auf Ihrem LDAP-Server entspricht.

tsm-Befehlszeile: Verwendet den Befehl tsm user-identity-store set-user-mappings [Optionen].

memberOf memberof wgserver.domain.ldap.user.memberof LDAP

Gruppe, zu der der Benutzer gehört.

tsm-Befehlszeile: Verwendet den Befehl tsm user-identity-store set-user-mappings [Optionen].

groupClassNames k. A. wgserver.domain.ldap.group.classnames LDAP

Standardmäßig sucht Tableau Server nach LDAP-Gruppenobjektklassen, die die Zeichenfolge "group" (Gruppe) beinhalten. Wenn Ihre LDAP-Gruppenobjekte nicht dem Standardklassenname entsprechen, überschreiben Sie den Standardnamen durch Einrichten dieses Wertes.

Für configEntity: Diese Option verwendet eine Liste von Strings, für die es erforderlich ist, jede Klasse in Anführungszeichen, durch Kommata getrennt (ohne Leerzeichen) und innerhalb von Klammern zu übergeben. Beispiel: ["basegroup","othergroup"].

Für configKey: Übergeben Sie die einzelnen Klassen mit Kommata (ohne Leerzeichen) voneinander getrennt und in doppelten Anführungszeichen. Beispiel: "basegroup,othergroup”.

userClassNames k. A. wgserver.domain.ldap.user.classnames LDAP

Standardmäßig sucht Tableau Server nach LDAP-Benutzerobjektklassen, die die Zeichenfolge "user" (Benutzer) und "inetOrgPerson" beinhalten. Wenn Ihre LDAP-Benutzerobjekte nicht diese Standardklassennamen verwenden, überschreiben Sie den Standardnamen durch Einrichten dieses Wertes.

Für configEntity: Diese Option verwendet eine Liste von Strings, für die es erforderlich ist, jede Klasse in Anführungszeichen, durch Kommata getrennt (ohne Leerzeichen) und innerhalb von Klammern zu übergeben. Beispiel: ["userclass1",userclass2”].

Für configKey: Übergeben Sie die einzelnen Klassen mit Kommata (ohne Leerzeichen) voneinander getrennt und in doppelten Anführungszeichen. Beispiel: "userclass1,userclass2”.

Berechnete configKeys

Die folgenden Kerberos-bezogenen configKeys werden gemäß mehreren Umgebungseingaben berechnet und festgelegt. Als solches müssen Sie durch die Befehlszeile oder configEntities festgelegt werden. Versuchen Sie nicht, dies configKeys manuell festzulegen.

Berechneter configKey So verwenden Sie die TSM-Befehlszeile: So verwenden Sie configEntity json:

wgserver.domain.ldap.kerberos.conf,

cfs.ldap.kerberos.conf

Legen Sie den Speicherort der Kerberos-Konfigurationsdatei mit der Option kerbconfig des Befehls tsm user-identity-store set-connection [Optionen] fest.

Legen Sie den Speicherort der Kerberos-Konfigurationsdatei mit der configEntity-Option kerberosConfig fest.

wgserver.domain.ldap.kerberos.keytab,

cfs.ldap.kerberos.keytab

Legen Sie den Speicherort der Kerberos-Keytab-Datei mit der Option kerbkeytab des Befehls tsm user-identity-store set-connection [Optionen] fest. Legen Sie den Speicherort der Kerberos-Keytab-Datei mit der configEntity-Option kerberosKeytab fest.

Nicht unterstützte configKeys

Die zugrundeliegenden YAML-Konfigurationsdateien enthalten einige nicht unterstützte configKeys. Die folgenden Schlüssel sind nicht für Standardbereitstellungen vorgesehen. Konfigurieren Sie die folgenden Schlüssel nicht:

  • wgserver.domain.ldap.kerberos.login
  • wgserver.domain.ldap.guid
  • wgserver.domain.fqdn
Vielen Dank für Ihr Feedback! Es gab einen Fehler bei der Übermittlung Ihres Feedback. Versuchen Sie es erneut oder senden Sie uns eine Nachricht.