Guida di Tableau Server su Windows

Il controller di amministrazione Tableau Server (noto anche come controller) è il componente di gestione per le modifiche amministrative al cluster di Tableau Server. Per impostazione predefinita il controller è installato solo nel (primo) nodo di un cluster di Tableau Server. Sebbene sia tecnicamente possibile eseguire più controller in una singola distribuzione del cluster di Tableau, questa non è una procedura consigliata.

Il controller include un’API che può essere gestita da vari client: interfaccia a riga di comando di TSM, Web Client di TSM, client REST (curl, postman) e così via. Utilizzando questi client, gli amministratori di Tableau Server possono apportare modifiche alla configurazione del cluster di server. Il controller, insieme a Zookeeper, gestisce ed apporta le modifiche alla configurazione tra i nodi.

Nota Come da convenzione, qui viene utilizzato il termine "SSL" quando si fa riferimento all’utilizzo di TLS per proteggere il traffico HTTPS.

Per impostazione predefinita, la connessione client è crittografata con SSL mediante un certificato autofirmato creato da Tableau Server durante l’installazione e rinnovato dal controller. Oltre alla crittografia, l’identità (nome host o IP) del computer host del controller viene convalidata rispetto al nome del soggetto presentato nel certificato durante l’handshake SSL. Tuttavia, poiché il certificato è autofirmato, l’attendibilità del certificato non è assoluta.

Nel caso della connessione dell’interfaccia a riga di comando al controller, l’impossibilità di considerare assolutamente attendibile il certificato non rappresenta un enorme rischio per la sicurezza, poiché un attacco di tipo "man in the middle" richiederebbe generalmente a un utente malintenzionato l’accesso al cluster di Tableau Server in una rete privata. Se un utente malintenzionato può falsificare il certificato per il controller nello scenario dell’interfaccia a riga di comando, l’utente malintenzionato ha già "le chiavi del regno".

Tuttavia, nello scenario in cui gli amministratori si connettono al controller tramite l’interfaccia utente Web di TSM dall’esterno della rete interna, la mancanza di convalida dell’host tramite un’autorità di certificazione attendibile presenta un rischio maggiore per la sicurezza.

Fino a poco tempo fa, i clienti che eseguivano l’interfaccia utente Web di TSM su un computer Windows potevano inserire il certificato CA di Tableau Server in un archivio radice attendibile di Windows. La maggior parte dei browser convalidava l’attendibilità del certificato in virtù di questa configurazione. Oggi Chrome non convalida più (non considera più attendibili) i certificati autofirmati inseriti nell’archivio attendibilità del sistema operativo. Ora, Chrome (e la maggior parte dei principali browser) ritengono attendibili solo i certificati concatenati a una CA radice di terze parti attendibile.

La funzione del certificato SSL personalizzato di TSM colma il divario di attendibilità consentendo agli amministratori di configurare il controller TSM con un certificato di identità concatenato a una CA radice di terze parti attendibile.

Esistono una serie di dettagli importanti da capire:

• L’attendibilità per il certificato SSL personalizzato di TSM viene convalidata durante la connessione con l’interfaccia utente Web di TSM.
• La convalida dell’attendibilità non viene tentata per lo scenario dell’interfaccia a riga di comando di TSM. Come descritto in precedenza, un attacco "man-in-the-middle" allo scenario dell’interfaccia a riga di comando non presenta un rischio credibile.
• Nella configurazione può essere inclusa la catena di certificati. La catena può presentare tutti i certificati firmati da CA intermedie. La catena può terminare in qualsiasi momento e si presume che tutti i certificati mancanti siano installati nell’archivio attendibilità del sistema operativo.

Devi utilizzare l’interfaccia della riga di comando di TSM per configurare (o aggiornare) il certificato personalizzato SSL per TSM.

Consulta tsm security custom-tsm-ssl enable.