Configurare il canale crittografato per l’archivio identità esterno LDAP

Tableau Server configurato per la connessione a un archivio identità LDAP esterno deve eseguire una query sulla directory LDAP e stabilire una sessione. Il processo di creazione di una sessione è denominato binding. Esistono numerose soluzioni per il binding. Tableau Server supporta due metodi di binding a una directory LDAP:

  • Binding semplice. Stabilisce una sessione eseguendo l’autenticazione con nome utente e password. Per impostazione predefinita, LDAP con il binding semplice non è crittografato. Se configuri LDAP con binding semplice, è consigliabile attivare LDAP su SSL/TLS.

  • Binding GSSAPI: GSSAPI utilizza Kerberos per l’autenticazione. Se configurata con un file keytab, l’autenticazione è sicura durante il binding GSSAPI. Tuttavia, il traffico successivo verso il server LDAP non è crittografato. È consigliabile configurare LDAP su SSL/TLS.

    Se esegui Tableau Server su Windows in un computer aggiunto a un dominio Active Directory, non è necessario configurare GSSAPI. Il programma di installazione con interfaccia grafica di Tableau Server rileverà e configurerà automaticamente la connessione ad Active Directory utilizzando Kerberos. Consulta Configurare le impostazioni iniziali dei nodi. Non eseguire LDAP con binding semplice per le comunicazioni di Active Directory.

In questo argomento viene descritto come crittografare il canale per un binding LDAP semplice per le comunicazioni tra Tableau Server e i server di directory LDAP.

Requisiti del certificato

  • Devi disporre di un certificato SSL/TLS x509 con codifica PEM valido utilizzabile per la crittografia. Il file certificato deve avere l’estensione .crt.

  • I certificati autofirmati non sono supportati.

  • Il certificato installato deve includere Key Encipherment nel campo della chiave da utilizzare per SSL/TLS. Tableau Server utilizzerà questo certificato solo per crittografare il canale per il server LDAP. La scadenza, l’attendibilità, l’elenco CRL e altri attributi non vengono convalidati.

  • Se esegui Tableau Server in una distribuzione distribuita, devi eseguire la copia manuale del certificato SSL in ogni nodo del cluster. Copia il certificato solo in quei nodi in cui è configurato il processo dell’applicazione del server di Tableau Server. A differenza di altri file condivisi in un ambiente cluster, il certificato SSL utilizzato per LDAP non sarà distribuito automaticamente dal servizio file client.

  • Se utilizzi un certificato PKI o non di terze parti, carica il certificato radice CA nell’archivio attendibilità Java.

Importare un certificato nell’archivio delle chiavi di Tableau

Se non dispone già di certificati nel computer configurato per il server LDAP, dovrai ottenere un certificato SSL per il server LDAP e importarlo nel sistema dell’archivio delle chiavi di Tableau.

Utilizza lo strumento Java "keytool" per importare i certificati. In un’installazione predefinita, questo strumento viene installato con Tableau Server in C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe.

Esegui il seguente comando come amministratore per importare il certificato (è necessario sostituire la <variables> per il proprio ambiente):

"C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe" -importcert -file "C:\Program Files\Tableau\Tableau Server\<LDAP-certificate-file>.crt" -alias "<ldapserver.name>" -keystore "C:\ProgramData\Tableau\Tableau Server\tableauservicesmanagerca.jks" -storepass changeit -noprompt

La password per l’archivio delle chiavi Java è changeit. Non modificare la password dell’archivio delle chiavi Java.

Metodo di crittografia LDAPS

Tableau Server supporta LDAPS per la crittografia del canale LDAP per il binding semplice.

LDAP protetto, o LDAPS, è un canale crittografato standard che richiede una configurazione. In particolare, oltre a un certificato TLS in Tableau Server, devi impostare il nome host e la porta LDAP protetta per il server LDAP di destinazione.

Configurare il canale crittografato per il binding semplice

Se l’organizzazione utilizza una directory LDAP diversa da Active Directory, segui le procedure descritte di seguito per configurare un canale crittografato per il binding semplice LDAP.

In questa sezione viene descritto come configurare Tableau Server per l’utilizzo di un canale crittografato per il binding semplice LDAP.

Quando eseguire la configurazione

Devi configurare Tableau Server per utilizzare un canale crittografato per il binding semplice LDAP prima che Tableau Server venga inizializzato o come parte della configurazione del nodo iniziale, come indicato nella scheda "Usare l’interfaccia della riga di comando di TSM" in Configurare le impostazioni iniziali dei nodi.

Per le nuove installazioni di Tableau Server

Se l’organizzazione utilizza una directory LDAP diversa da Active Directory, non puoi utilizzare l’installazione con interfaccia grafica di TSM per configurare l’archivio identità come parte dell’installazione di Tableau Server. Devi invece utilizzare i file di entità JSON per configurare l’archivio identità LDAP. Vedi Entità identityStore.

Prima di configurare l’entità identityStore, importa un certificato SSL/TLS valido nell’archivio delle chiavi di Tableau, come documentato in precedenza in questo argomento.

La configurazione di LDAPS richiede l’impostazione delle opzioni hostname e sslPort nel file JSON identityStore.

Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!