Configurer le canal crypté vers le magasin d’identités externe LDAP
Tableau Server qui est configuré pour se connecter à un magasin d’identités LDAP externe doit interroger l’annuaire LDAP et établir une session. Le processus d’établissement d’une session est appelé une liaison. Il existe de nombreuses façons d’établir une liaison. Tableau Server prend en charge deux méthodes de liaison à un annuaire LDAP :
Liaison simple : établit une session en utilisant l’authentification avec nom d’utilisateur et mot de passe. Par défaut, LDAP avec liaison simple n’est pas crypté. Si vous configurez LDAP avec une liaison simple, nous vous recommandons vivement d’activer LDAP sur SSL/TLS.
Liaison GSSAPI : GSSAPI utilise Kerberos pour l’authentification. Lorsqu’il est configuré avec un fichier keytab, l’authentification est sécurisée pendant la liaison GSSAPI. Toutefois, le trafic ultérieur vers le serveur LDAP n’est pas crypté. Nous vous recommandons de configurer LDAP sur SSL/TLS.
Si vous utilisez Tableau Server sur Windows sur un ordinateur lié à un domaine Active Directory, vous n’avez pas besoin de configurer GSAPI. Le programme d’installation de l’interface utilisateur de Tableau Server détectera et configurera la connexion Active Directory pour vous à l’aide de Kerberos. Consultez Configurer les paramètres du nœud initial. N’exécutez pas LDAP avec une liaison simple pour les communications Active Directory.
Ce sujet décrit comment crypter le canal pour une liaison LDAP simple pour les communications entre Tableau Server et les serveurs d’annuaire LDAP.
Exigences en matière de certificat
Vous devez avoir un certificat valide x509 SSL/TLS codé au format PEM qui peut être utilisé pour le chiffrement. Le fichier de certificat doit avoir une extension .crt.
Les certificats auto-signés ne sont pas pris en charge.
Le certificat que vous installez doit inclure
Key Encipherment
dans le champ d’utilisation de la clé à utiliser pour SSL/TLS. Tableau Server n’utilisera ce certificat que pour crypter le canal vers le serveur LDAP. L’expiration, la confiance, le CRL et d’autres attributs ne sont pas validés.Si vous exécutez Tableau Server dans un déploiement distribué, vous devez copier manuellement le certificat SSL sur chaque nœud du cluster. Copiez le certificat uniquement sur les nœuds où le processus Serveur d’applications Tableau Server est configuré. Contrairement aux autres fichiers partagés dans un environnement cluster, le certificat SSL utilisé pour LDAP ne sera pas automatiquement distribué par le Service de fichiers client.
- Si vous utilisez un certificat PKI ou non tiers, chargez le certificat racine de l’autorité de certification dans le magasin de confiance Java.
Importer un certificat dans le keystore Tableau
Si vous n’avez pas de certificats déjà en place sur votre ordinateur qui sont configurés pour le serveur LDAP, vous devez obtenir un certificat SSL pour le serveur LDAP et l’importer dans le keystore système Tableau.
Utilisez l’outil « keytool » Java d’importation de certificats. Dans une installation par défaut, cet outil est installé avec Tableau Server à l’adresse C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe
.
Exécutez la commande suivante en tant qu’administrateur pour importer le certificat (vous devez procéder au remplacement de <variables>
pour votre environnement) :
"C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe" -importcert -file "C:\Program Files\Tableau\Tableau Server\<LDAP-certificate-file>.crt" -alias "<ldapserver.name>" -keystore "C:\ProgramData\Tableau\Tableau Server\tableauservicesmanagerca.jks" -storepass changeit -noprompt
Le mot de passe pour le keystore Java est changeit
. (Ne modifiez pas le mot de passe pour le keystore Java).
Méthode de cryptage LDAPS
Tableau Server prend en charge LDAPS pour crypter le canal LDAP pour une liaison simple.
LDAP sécurisé, ou LDAPS, est un canal crypté standard qui nécessite une configuration. Plus précisément, en plus d’un certificat TLS sur Tableau Server, vous devez définir le nom d’hôte et le port LDAP sécurisé pour le serveur LDAP cible.
Configurer un canal crypté pour une liaison simple
Si votre entreprise utilise un répertoire LDAP autre qu’Active Directory, suivez les procédures décrites ici pour configurer un canal crypté pour la liaison simple LDAP.
Cette section décrit comment configurer Tableau Server pour utiliser un canal crypté pour la liaison simple LDAP.
Quand configurer
Vous devez configurer Tableau Server de manière à utiliser un canal chiffré pour la liaison simple LDAP avant l’initialisation de Tableau Server ou dans le cadre de la configuration du nœud initial comme mentionné dans l’onglet « Utiliser l’interface en ligne de commande TSM » dans Configurer les paramètres du nœud initial.
Pour les nouvelles installations de Tableau Server
Si votre entreprise utilise un répertoire LDAP autre que Active Directory, vous ne pouvez pas utiliser le programme d’installation de l’interface graphique TSM pour configurer le magasin d’identités dans le cadre de l’installation Tableau Server. Au lieu de cela, vous devez utiliser les fichiers d’entités JSON pour configurer le magasin d’identités LDAP. Consultez Entité identityStore.
Avant de configurer l’entité identityStore, importez un certificat SSL/TLS valide dans le keystore Tableau tel que documenté précédemment dans ce sujet.
La configuration de LDAPS nécessite de définir le nom d’hôte et les options sslPort dans le fichier IdentityStore JSON.