tsm security

Utilice los comandos tsm security para configurar la compatibilidad de Tableau Server con el SSL externo (puerta de enlace) o el SSL de repositorio (Postgres). La configuración de SSL de repositorio incluye la posibilidad de habilitar SSL a través de conexiones directas entre clientes de Tableau (como Tableau Desktop, Tableau Mobile y navegadores web) y el repositorio.

Requisitos previos

Para poder configurar SSL, debe adquirir los certificados correspondientes y copiarlos en el equipo donde se vaya a ejecutar el proceso de puerta de enlace de Tableau Server. Hay que preparar más elementos para habilitar las conexiones directas desde clientes. Consulte los siguientes artículos para obtener más información:

Configurar SSL para tráfico HTTP externo a y desde Tableau Server

Configurar el SSL para la comunicación interna de Postgres

 Para obtener más información sobre la SSL mutua (bidireccional), consulte Configurar la autenticación SSL mutua y Comandos tsm authentication mutual-ssl.

tsm security custom-cert add

Añade un certificado de CA personalizado a Tableau Server. Este certificado se utiliza opcionalmente para establecer la confianza para la comunicación TLS entre un servidor SMTP y Tableau Server.

Si ya existe un certificado personalizado, este comando fallará. Puede eliminar el certificado personalizado existente utilizando el comando tsm security custom-cert delete.

Nota: El certificado que añada con este comando lo podrán utilizar otros servicios de Tableau Server en conexiones TLS.

Como parte de su plan de recuperación ante desastres, le recomendamos que mantenga una copia de seguridad del archivo de certificado en una ubicación segura fuera de Tableau Server. El servicio de archivos de cliente almacenará y distribuirá el archivo de certificado que agregue a Tableau Server a otros nodos. Sin embargo, el archivo no se almacena en un formato recuperable. Consulte el Servicio de archivo de cliente de Tableau Server.

Sinopsis

tsm security custom-cert add --cert-file <file.crt> [global options]

Opciones

-c, --cert-file <file.crt>

Requerido. Especifique el nombre de un archivo de certificado en formato PEM o DER válido.

tsm security custom-cert delete

Elimina el certificado personalizado existente en el servidor. Esto le permite añadir un nuevo certificado personalizado.

Sinopsis

tsm security custom-cert delete[global options]

tsm security custom-cert list

Enumere los detalles del certificado personalizado.

Sinopsis

tsm security custom-cert list[global options]

tsm security external-ssl disable

Elimina las opciones de configuración SSL existentes del servidor y deja de cifrar el tráfico entre los clientes externos y el servidor.

Sinopsis

tsm security external-ssl disable [global options].

tsm security external-ssl enable

Habilita y especifica archivos de certificado y de clave para la comunicación de SSL sobre HTTP externo.

Sinopsis

tsm security external-ssl enable --cert-file <file.crt> --key-file <file.key> [options] [global options].

Opciones

--cert-file <file.crt>

Requerido. Especifica el nombre de un certificado x509 válido codificado mediante PEM con la extensión .crt.

--key-file <file.key>

Requerido. Especifica un archivo de clave privada RSA o DSA válido con la extensión .key por convención.

--chain-file <chainfile.crt>

Especifica el archivo de cadena del certificado (.crt).

Se necesita un archivo de cadena de certificados para Tableau Desktop en Mac. En algunos casos, puede que se necesite un archivo de cadena de certificados para Tableau Mobile.

Algunos proveedores de certificados emiten dos certificados para Apache. El segundo certificado es un archivo en cadena, el cual es una concatenación de todos los certificados que conforman la cadena de certificados para el certificado del servidor.

Todos los certificados en el archivo deben estar codificados por x509 PEM y el archivo debe tener una extensión .crt (no .pem).

--passphrase

Opcional. Frase de contraseña del archivo de certificado. La frase de contraseña que se especifique estará cifrada mientras esté en reposo.

Nota: si crea un archivo de clave de certificado con una contraseña, no puede volver a utilizar la clave del certificado SSL para SAML.

--protocols <list protocols>

Opcional. Indique las versiones del protocolo de seguridad de la capa de transporte (TLS) que desea permitir o desautorizar.

TLS es una versión mejorada de SSL. Tableau Server emplea la TLS para autenticar y cifrar conexiones. Los valores aceptados incluyen las versiones del protocolo compatibles con Apache. Para desautorizar un protocolo, anteponga la versión del protocolo con un carácter menos (-).

Configuración predeterminada: "all, -SSLv2, -SSLv3"

Esta configuración predeterminada impide de forma explícita que los clientes utilicen los protocolos SSL v2 o SSL v3 para conectarse a Tableau Server. Sin embargo, le recomendamos que también impida el uso de las versiones 1 y 1.1 de TLS.

Antes de rechazar una versión específica de TLS, verifique que los navegadores con los que los usuarios se conectan a Tableau Server son compatibles con la versión 1.2 de TLS. Puede que necesite mantener la compatibilidad con la versión 1.1 de TLS hasta que los navegadores se actualicen.

Si no necesita la compatibilidad con la versión 1 o 1.1 de TLS, utilice el siguiente comando para admitir la versión 1.2 de TLS (con el valor all) y deniegue de forma explícita las versiones 2 y 3 de SSL y las versiones 1 y 1.1 de TLS.

tsm security external-ssl enable --cert-file file.crt --key-file file.key --protocols "all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"

tsm security external-ssl list

Muestra una lista de opciones relacionadas con la configuración del SSL externo de la puerta de enlace. La lista incluye los nombres de los archivos de certificado utilizados, pero no su ubicación.

Sinopsis

tsm security external-ssl list [global options].

tsm security kms set-mode aws

Establezca el modo KMS en AWS.

Necesitará la cadena ARN completa de AWS KMS. Esta cadena se encuentra en la sección "Configuración general" de las páginas de administración de AWS KMS. El ARN se presenta en este formato: arn:aws:kms:<región>:<cuenta>:key/<CMK_ID>, por ejemplo, arn:aws:kms:us-west-2:867530990073:key/1abc23de-fg45-6hij-7k89-1l0mn1234567.

Para obtener más información, consulte Sistema de administración de claves de AWS.

Sinopsis

tsm security kms set-mode aws --key-arn "<arn>" --aws-region "<region>" [global options]

Opciones

--key-arn

Requerido. La opción --key-arn toma una copia directa de la cadena del ARN en la sección "Configuración general" de las páginas de administración de AWS KMS.

--aws-region

Requerido. Indique una región como se muestra en la columna Región de la tabla Amazon API Gateway(Link opens in a new window).

Ejemplo

Por ejemplo, si su instancia de AWS KMS se ejecuta en la región us-west-2, su número de cuenta es 867530990073 y la clave CMK es 1abc23de-fg45-6hij-7k89-1l0mn1234567, el comando sería el siguiente:

tsm security kms set-mode aws --aws-region "us-west-2" --key-arn "arn:aws:kms:us-west-2:867530990073:key/1abc23de-fg45-6hij-7k89-1l0mn1234567"

tsm security kms set-mode azure

Establezca el modo de KMS en Azure Key Vault.

Nota: El modo de KMS se mostrará como "Azure Key Vault" cuando se ejecute tsm security kms status, pero usted lo establece como "azure".

Necesitará el nombre del almacén de Azure Key Vault y el nombre de la clave en Azure.

Para obtener más información, consulte Azure Key Vault.

Sinopsis

tsm security kms set-mode azure --key-name "<key_name>" --vault-name "<vault_name>" [global options]

Opciones

--key-name

Requerido. El nombre de la clave asimétrica almacenada en Azure Key Vault.

--vault-name

Requerido. Nombre del almacén de Azure Key Vault.

Ejemplo

Por ejemplo, si se nombra Azure Key Vault como tabsrv-keyvault y la clave es tabsrv-sandbox-key01, el comando sería:

tsm security kms set-mode azure --key-name "tabsrv-sandbox-key01" --vault-name "tabsrv-keyvault"

tsm security kms set-mode local

Establezca o restablezca el modo KMS en Local. Local es el modo predeterminado de KMS. Para obtener más información, consulte Sistema de gestión de claves local de Tableau Server.

Sinopsis

tsm security kms set-mode local [global options]

tsm security kms status

Consulte el estado de la configuración de KMS. El estado que muestra incluye:

  • Estado: "Aceptar" indica que Tableau puede acceder al KMS o al nodo del controlador si hay una instalación distribuida.
  • Modo: Local, AWS o Azure Key Vault. Indica qué modo de KMS se está utilizando.
  • Cifrar y descifrar claves maestras de cifrado:

    KMS almacena una colección de claves maestras de extracción (MEK). Cada MEK incluye:

    • Un ID, por ejemplo 8ddd70df-be67-4dbf-9c35-1f0aa2421521
    • Puede ser un estado "clave de cifrado o descifrado" o "clave solo de descifrado". Si una clave es de "cifrado o descifrado", Tableau Server cifrará los nuevos datos con ella. De lo contrario, la clave solo se usará para descifrar
    • Una marca de tiempo de creación, por ejemplo, "Creado en: 2019-05-29T23:46:54Z".
    • Primera transición a cifrar y descifrar: una marca de tiempo que indica cuándo la clave se convirtió en una clave de cifrado o descifrado.
    • Transición a solo descifrar: una marca de tiempo que indica cuándo la clave pasó a ser solo de descifrar.

Otros valores que se muestran dependen del modo de KMS.

Cuando el modo de KMS es AWS, se indica lo siguiente:

  • El ARN (ID) de la clave maestra de cliente (CMK).
  • La región en la que se encuentra el CMK.
  • El ID de la clave maestra raíz (RMK) en uso. El RMK es una clave que cifra el CMK. Tableau Server descifra el CMK realizando llamadas a AWS KMS. El RMK se utiliza para cifrar/descifrar la clave maestra de extracción (MEK). El RMK puede cambiar, pero solo habrá uno a la vez.

Cuando el modo de KMS es Azure Key Vault, se indica lo siguiente:

  • Nombre del almacén: el nombre del almacén de Azure Key Vault.
  • Nombre de clave de Azure Key Vault: el nombre de la clave en el almacén.

Sinopsis

tsm security kms status [global options]

tsm security maestro-rserve-ssl disable

Deshabilite la conexión de Rserve.

Para obtener más información, consulte Utilizar scripts R (Rserve) en su flujo.

tsm security maestro-rserve-ssl enable

Configure una conexión entre un servidor de Rserve y Tableau Server 2019.3 o posterior.

Para obtener más información, consulte Utilizar scripts R (Rserve) en su flujo.

Sinopsis

tsm security maestro-rserve-ssl enable --connection-type <maestro-rserve-secure | maestro-rserve> --rserve-host <Rserve IP address or host name> --rserve-port <Rserve port> --rserve-username <Rserve username> --rserve-password <Rserve password> --rserve-connect-timeout-ms <RServe connect timeout>

Opciones

--connection-type

Seleccione maestro-rserve-secure para habilitar una conexión segura o maestro-rserve para habilitar una conexión no segura. Si selecciona maestro-rserve-secure, especifique la ruta del archivo de certificado en la línea de comandos.

--rserve-host

Host

--rserve-port

Puerto

--rserve-username

Nombre de usuario

--rserve-password

Contraseña

--rserve-connect-timeout-ms

El tiempo de espera de conexión en milisegundos. Por ejemplo, --rserve-connect-timeout-ms 900000.

tsm security maestro-tabpy-ssl disable

Deshabilite la conexión de TabPy.

Para obtener más información, consulte Utilizar scripts script Python en su flujo.

tsm security maestro-tabpy-ssl enable

Configure una conexión entre un servidor de TabPy y Tableau Server 2019.3 o posterior.

Para obtener más información, consulte Utilizar scripts script Python en su flujo.

Sinopsis

tsm security maestro-tabpy-ssl enable --connection-type <maestro-tabpy-secure | maestro-tabpy> --tabpy-host <TabPy IP address or host name> --tabpy-port <TabPy port> --tabpy-username <TabPy username> --tabpy-password <TabPy password> --tabpy-connect-timeout-ms <TabPy connect timeout>

Opciones

--connection-type

Seleccione maestro-tabpy-secure para habilitar una conexión segura o maestro-tabpy para habilitar una conexión no segura. Si selecciona maestro-tabpy-secure, especifique el archivo de certificado (-cf<ruta del archivo de certificado>) en la línea de comandos.

--tabpy-host

Host

--tabpy-port

Puerto

--tabpy-username

Nombre de usuario

--tabpy-password

Contraseña

--tabpy-connect-timeout-ms

El tiempo de espera de conexión en milisegundos. Por ejemplo, --tabpy-connect-timeout-ms 900000.

tsm security regenerate-internal-tokens

Este comando lleva a cabo las siguientes operaciones:

  1. Detiene Tableau Server si se está ejecutando.

  2. Genera nuevos certificados SSL internos para el servidor de búsqueda del repositorio de PostgreSQL.

  3. Genera contraseñas nuevas para las demás contraseñas administradas internamente.

  4. Actualiza todas las contraseñas del repositorio de PostgreSQL.

  5. Genera una clave de cifrado nueva para la administración de claves de activos y cifra los datos de dichas claves con la clave nueva.

  6. Genera una clave de cifrado nueva para los secretos de configuración (clave maestra) y cifra la configuración con esta clave.

  7. Reconfigura y actualiza Tableau Server con todos estos secretos. En una implementación distribuida, este comando también distribuye la reconfiguración y las actualizaciones por todos los nodos del clúster.

  8. Regenera una clave maestra nueva, la añade al archivo de almacén de claves maestro y, a continuación, crea tokens de seguridad nuevos para uso interno.

  9. Inicia Tableau Server.

Si tiene pensado añadir un nodo al clúster después de ejecutar este comando, deberá generar un nuevo archivo de configuración de nodo para actualizar los tokens, las claves y los secretos que se generen con este comando. Consulte Instalar y configurar nodos adicionales.

Para obtener más información sobre las contraseñas internas, consulte Administrar secretos del servidor.

Sinopsis

tsm security regenerate-internal-tokens [options] [global options]

Opciones

--request-timeout <timeout in seconds>

Opcional.

Espere el tiempo especificado a que el comando finalice. El valor predeterminado es 1800 (30 minutos).

tsm security repository-ssl disable

Detiene el cifrado del tráfico entre el repositorio y otros componentes del servidor y la compatibilidad con conexiones directas desde clientes de Tableau.

Sinopsis

tsm security repository-ssl disable [global-options].

tsm security repository-ssl enable

Habilita el SSL y genera los archivos .crt y .key del servidor que se utilizan para el tráfico cifrado entre el repositorio de Postgres y otros componentes del servidor. El hecho de habilitarlo le permite habilitar el SSL a través de conexiones directas entre clientes de Tableau y el servidor.

Sinopsis

tsm security repository-ssl enable [options] [global options].

Opciones

-i, --internal-only

Opcional. Si se establece en --internal-only, Tableau Server utiliza el SSL entre el repositorio y otros componentes del servidor. Además, admite el SSL para las conexiones directas con los usuarios tableau y readonly, aunque no los necesita.

Si no se establece esta opción, Tableau Server requerirá el SSL para el tráfico entre el repositorio y otros componentes del servidor, así como para las conexiones directas desde los clientes de Tableau (para las conexiones efectuadas con los usuarios tableau o readonly).

Si especifica esta opción, también debe completar los pasos que se describen en Configurar la SSL de Postgres para permitir las conexiones directas desde los clientes.

tsm security repository-ssl get-certificate-file

Obtenga el archivo de certificado público utilizado para establecer la comunicación de SSL con el repositorio de Tableau. SSL debe estar habilitado para la comunicación con el repositorio a fin de recuperar el certificado. El archivo de certificado se distribuye de forma automática a los clientes internos del repositorio del clúster de Tableau Server. Para permitir que los clientes remotos se conecten a través de SSL al repositorio, debe copiar el archivo de certificado público en cada cliente.

Sinopsis

tsm security repository-ssl get-certificate-file [global-options]

Opciones

-f, --file

Requerido.

Nombre de archivo (con la extensión .cert) y ruta de acceso completa en la que se debe guardar el archivo de certificado. Si existe un archivo duplicado, se sobrescribirá.

tsm security repository-ssl list

Indica la configuración de SSL de repositorio (Postgres) existente.

Sinopsis

tsm security repository-ssl list [global-options].

Opciones globales

-h, --help

Opcional.

Muestra la ayuda relativa al comando.

-p, --password <password>

Obligatoria junto con -u o --username si no hay ninguna sesión activa.

Indica la contraseña del usuario especificado en -u o --username.

Si la contraseña incluye espacios o caracteres especiales, escríbala entre comillas:

--password "my password"

-s, --server https://<hostname>:8850

Opcional.

Utiliza la dirección especificada para Tableau Services Manager. La dirección URL debe comenzar con https, incluir el puerto 8850 y usar el nombre del servidor en lugar de la dirección IP. Por ejemplo, https://<tsm_hostname>:8850. Si no se especifica ningún servidor, se da por hecho que es https://<localhost | dnsname>:8850.

--trust-admin-controller-cert

Opcional.

Use esta marca para confiar en el certificado autofirmado en el controlador SM. Para obtener más información acerca de la confianza de certificados y las conexiones CLI, consulte Conectar clientes de TSM.

-u, --username <user>

Obligatoria si no hay ninguna sesión activa, junto con -p o --password.

Indica una cuenta de usuario. Si no se incluye esta opción, el comando se ejecuta con las credenciales con las que se haya iniciado sesión.

¡Gracias por sus comentarios!