Configurar un canal cifrado al almacén de identidades externo LDAP
Tableau Server que esté configurado para conectarse a un almacén de identidades externo LDAP debe consultar el directorio LDAP y establecer una sesión. El proceso de establecer una sesión se denomina enlace. Hay varias maneras de establecer un enlace. Tableau Server admite dos métodos de enlace a un directorio LDAP:
El enlace simple: establece una sesión al realizar la autenticación con un nombre de usuario y una contraseña. De forma predeterminada, LDAP con enlace simple no está cifrado. Si está configurando LDAP con enlace simple, recomendamos encarecidamente que habilite LDAP sobre SSL/TLS.
Enlace GSSAPI: GSSAPI utiliza Kerberos para realizar la autenticación. Cuando se configura con un archivo keytab, la autenticación es segura durante el enlace GSSAPI. Sin embargo, el tráfico subsiguiente al servidor LDAP no se cifra. Recomendamos configurar LDAP a través de SSL/TLS.
Si ejecuta Tableau Server en Windows y el equipo está unido a un dominio de Active Directory, no tiene por qué configurar GSAPI. El programa de instalación de la interfaz de Tableau Server detectará y configurará la conexión a Active Directory mediante Kerberos. Consulte Configurar los ajustes de nodo iniciales. No ejecute LDAP con un enlace simple para las comunicaciones de Active Directory.
En este tema se describe cómo cifrar el canal para el enlace LDAP simple para las comunicaciones entre Tableau Server y los servidores de directorio LDAP.
Requisitos del certificado
Debe tener un certificado PEM con cifrado x509 SSL/TLS válido que se pueda utilizar para el cifrado. El archivo del certificado debe tener una extensión .crt.
No se admiten certificados autofirmados.
El certificado que instale debe incluir
Key Encipherment
en el campo de uso de claves que se utilizará para SSL/TLS. Tableau Server solo utilizará este certificado para cifrar el canal en el servidor LDAP. No se validan la caducidad, la confianza, la CRL ni otros atributos.Si ejecuta Tableau Server en una implementación distribuida, debe copiar manualmente el certificado SSL en cada uno de los nodos del clúster. Copie el certificado solo en aquellos nodos en los que esté configurado el proceso Servidor de aplicaciones de Tableau Server. A diferencia de otros archivos compartidos en un entorno de clúster, el Servicio de archivo de cliente no distribuye automáticamente el certificado SSL utilizado para LDAP.
- Si está utilizando una PKI o un certificado que no sea de un tercero, cargue el certificado raíz de CA en el almacén de confianza de Java.
Importación de certificados en el almacén de claves de Tableau
Si no tiene ningún certificado vigente en el equipo que estén configurados para el servidor LDAP, deberá obtener un certificado SSL para el servidor LDAP e importarlo al almacén de claves del sistema de Tableau.
Use la herramienta de Java "keytool" para importar certificados. En una instalación predeterminada, esta herramienta se instala con Tableau Server en C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe
.
Ejecute el siguiente comando como administrador para importar el certificado (debe reemplazar las <variables>
para su entorno):
"C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe" -importcert -file "C:\Program Files\Tableau\Tableau Server\<LDAP-certificate-file>.crt" -alias "<ldapserver.name>" -keystore "C:\ProgramData\Tableau\Tableau Server\tableauservicesmanagerca.jks" -storepass changeit -noprompt
La contraseña del almacén de claves Java es changeit
. (No cambie la contraseña del almacén de claves de Java).
Método de cifrado LDAPS
Tableau Server admite LDAPS para cifrar el canal LDAP para un enlace simple.
LDAP seguro, o LDAPS, es un canal cifrado estándar que requiere una configuración más compleja. En concreto, además de un certificado TLS en Tableau Server, debe establecer el nombre de host y el puerto LDAP seguro para el servidor LDAP de destino.
Configuración del canal cifrado para un enlace simple
Si su organización utiliza un directorio LDAP que no es de Active Directory, siga estos procedimientos para configurar un canal cifrado para el enlace simple LDAP.
En esta sección se describe cómo configurar Tableau Server para que utilice un canal cifrado para el enlace simple LDAP.
Cuándo se debe configurar
Debe configurar Tableau Server para usar un canal encriptado para el enlace simple LDAP antes de que Tableau Server se inicialice o como parte de la configuración del nodo inicial como se menciona en la pestaña "Usar la CLI de TSM" en Configurar los ajustes de nodo iniciales.
Para instalaciones nuevas de Tableau Server
Si su organización utiliza un directorio LDAP que no es de Active Directory, no puede utilizar el programa de instalación de la interfaz de TSM para configurar el almacén de identidades como parte de la instalación de Tableau Server. En su lugar, debe utilizar archivos de entidad JSON para configurar el almacén de identidades LDAP. Consulte Entidad identityStore.
Antes de configurar la entidad identityStore, importe un certificado SSL/TLS válido en el almacén de claves de Tableau como se ha explicado anteriormente en este tema.
La configuración de LDAPS requiere establecer las opciones hostname y sslPort en el archivo JSON identityStore.