Configurer le réseau chiffré vers le magasin d’identités externe LDAP

Tableau Server qui est configuré pour se connecter à un magasin d’identités LDAP externe doit interroger l’annuaire LDAP et établir une session. Le processus d’établissement d’une session est appelé une liaison. Il existe de nombreuses façons d’établir une liaison. Tableau Server prend en charge deux méthodes de liaison à un annuaire LDAP :

  • Liaison simple : établit une session en utilisant l’authentification avec nom d’utilisateur et mot de passe. Par défaut, LDAP avec liaison simple n’est pas chiffré. Si vous configurez LDAP avec une liaison simple, nous vous recommandons vivement d’activer LDAP sur SSL/TLS.

  • Liaison GSSAPI : GSSAPI utilise Kerberos pour l’authentification. Lorsqu’il est configuré avec un fichier keytab, l’authentification est sécurisée pendant la liaison GSSAPI. Toutefois, le trafic ultérieur vers le serveur LDAP n’est pas chiffré. Nous vous recommandons de configurer LDAP sur SSL/TLS.

    Si vous utilisez Tableau Server sur Windows sur un ordinateur lié à un domaine Active Directory, vous n’avez pas besoin de configurer GSAPI. Le programme d’installation de l’interface utilisateur de Tableau Server détectera et configurera la connexion Active Directory pour vous à l’aide de Kerberos. Consultez Configurer les paramètres du nœud initial. N’exécutez pas LDAP avec une liaison simple pour les communications Active Directory.

Ce sujet décrit comment chiffrer le réseau pour une liaison LDAP simple pour les communications entre Tableau Server et les serveurs d’annuaire LDAP.

Exigences en matière de certificat

  • Vous devez avoir un certificat SSL/TLS x509 valide codé au format PEM qui peut être utilisé pour le chiffrement. Le fichier de certificat doit porter une extension .crt.

  • Les certificats auto-signés ne sont pas pris en charge.

  • Le certificat que vous installez doit inclure Key Encipherment dans le champ d’utilisation de la clé à utiliser pour SSL/TLS. Tableau Server n’utilisera ce certificat que pour chiffrer le réseau vers le serveur LDAP. L’expiration, la confiance, le CRL et d’autres attributs ne sont pas validés.

  • Si vous exécutez Tableau Server dans un déploiement distribué, vous devez copier manuellement le certificat SSL sur chaque nœud du groupement. Copiez le certificat uniquement sur les nœuds où le processus du serveur d’applications Tableau Server est configuré. Contrairement aux autres fichiers partagés dans un environnement de groupement, le certificat SSL utilisé pour LDAP ne sera pas automatiquement distribué par le Service de fichiers client.

  • Si vous utilisez un certificat PKI ou un certificat non généré par une autorité de certification tierce, chargez le certificat racine de l’autorité de certification (CA) dans le magasin de confiance des certificats Java.

Importer un certificat dans le keystore Tableau

Si vous n’avez pas de certificats déjà en place sur votre ordinateur qui sont configurés pour le serveur LDAP, vous devez obtenir un certificat SSL pour le serveur LDAP et l’importer dans le keystore système Tableau.

Utilisez l’outil « keytool » Java d’importation de certificats. Dans une installation par défaut, cet outil est installé avec Tableau Server à l’adresse C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe.

Exécutez la commande suivante en tant qu’administrateur pour importer le certificat (vous devez procéder au remplacement de <variables> pour votre environnement)  :

"C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe" -importcert -file "C:\Program Files\Tableau\Tableau Server\<LDAP-certificate-file>.crt" -alias "<ldapserver.name>" -keystore "C:\ProgramData\Tableau\Tableau Server\tableauservicesmanagerca.jks" -storepass changeit -noprompt

Le mot de passe pour le keystore Java est changeit. (Ne modifiez pas le mot de passe pour le keystore Java).

Méthode de chiffrement LDAPS

Tableau Server prend en charge LDAPS pour chiffrer le réseau LDAP pour une liaison simple.

LDAP sécurisé, ou LDAPS, est un réseau chiffré standard qui nécessite une configuration. Plus précisément, en plus d’un certificat TLS sur Tableau Server, vous devez définir le nom d’hôte et le port LDAP sécurisé pour le serveur LDAP cible.

Configurer un réseau chiffré pour une liaison simple

Si votre entreprise utilise un répertoire LDAP autre qu’Active Directory, suivez les procédures décrites ici pour configurer un réseau chiffré pour la liaison simple LDAP.

Cette section décrit comment configurer Tableau Server pour utiliser un réseau chiffré pour la liaison simple LDAP.

Quand configurer

Vous devez configurer Tableau Server de manière à utiliser un réseau chiffré pour la liaison simple LDAP avant l’initialisation de Tableau Server ou dans le cadre de la configuration du nœud initial comme mentionné dans l’onglet « Utiliser l’interface en ligne de commande TSM » dans Configurer les paramètres du nœud initial.

Pour les nouvelles installations de Tableau Server

Si votre entreprise utilise un répertoire LDAP autre que Active Directory, vous ne pouvez pas utiliser le programme d’installation de l’interface graphique TSM pour configurer le magasin d’identités dans le cadre de l’installation Tableau Server. Au lieu de cela, vous devez utiliser les fichiers d’entités JSON pour configurer le magasin d’identités LDAP. Consultez Entité identityStore.

Avant de configurer l’entité identityStore, importez un certificat SSL/TLS valide dans le keystore Tableau tel que documenté précédemment dans ce sujet.

La configuration de LDAPS nécessite de définir le nom d’hôte et les options sslPort dans le fichier IdentityStore JSON.

Merci de vos commentaires!Votre commentaire s été envoyé avec succès. Merci!