tsm security

tsm security コマンドを使って Tableau Server の外部 (ゲートウェイ) SSL または リポジトリ (Postgres) SSL のサポートを構成します。リポジトリの SSL 設定には、Tableau クライアント (Tableau Desktop、Tableau Mobile、Web ブラウザーなど) からリポジトリへの直接接続を介して SSL を有効にするオプションが含まれます。

前提条件

SSL を設定する前に証明書を取得して、Tableau Server ゲートウェイ プロセスを実行するコンピュータにコピーしておく必要があります。クライアントからの直接接続を有効にする場合は、さらに準備が必要です。詳細については、次の記事を参照してください。

Tableau Server との双方向の外部 HTTP トラフィック用に SSL を構成する

内部 Postgres 通信用に SSL を設定する

 相互 (2 方向) SSL の詳細については、相互 SSL 認証の構成および「tsm authentication mutual-ssl コマンド」を参照してください。

tsm security custom-cert add

カスタム CA 証明書を Tableau Server に追加します。この証明書は、必要に応じて、SMTP サーバーと Tableau Server 間の TLS 通信の信頼を確立するために使用されます。

カスタム証明書が既に存在する場合、このコマンドは失敗します。tsm security custom-cert delete コマンドを使用して、既存のカスタム証明書を削除できます。

:このコマンドで追加する証明書は、TLS 接続の他の Tableau Server サービスで使用される場合があります。

シノプシス

tsm security custom-cert add --cert-file <file.crt> [global options]

オプション

-c, --cert-file <file.crt>

必須。有効な PEM または DER 形式で証明書ファイルの名前を指定します。

tsm security custom-cert delete

サーバーの既存のカスタム証明書を削除します。これにより、新しいカスタム証明書を追加できるようになります。

シノプシス

tsm security custom-cert delete[global options]

tsm security custom-cert list

カスタム証明書の詳細を一覧表示します。

シノプシス

tsm security custom-cert list[global options]

tsm security external-ssl disable

サーバーの既存 SSL 構成設定を削除し、外部クライアントとサーバー間のトラフィックの暗号化を停止します。

シノプシス

tsm security external-ssl disable [global options]

tsm security external-ssl enable

外部 HTTP 通信を介した SSL の証明書およびキー ファイルを有効にし、指定します。

シノプシス

tsm security external-ssl enable --cert-file <file.crt> --key-file <file.key> [options] [global options]

オプション

--cert-file <file.crt>

必須。拡張子 .crt が付いた有効な PEM 暗号化 x509 証明書の名前を指定します。

--key-file <file.key>

必須。規則による拡張子 .key が付いた有効な RSA または DSA 秘密キー ファイルを指定します。

--chain-file <chainfile.crt>

証明書チェーン ファイル (.crt) を指定します。

Mac の Tableau Desktop には証明書チェーン ファイルが必要です。場合によっては、Tableau Mobile で証明書チェーン ファイルが必要になることがあります。

証明書プロバイダーによっては、Apache 用に 2 つの証明書を発行する場合があります。2 つ目の証明書はチェーン ファイルです。これは、サーバー証明書の証明書チェーンを構成するすべての証明書を連結したものです。

ファイルのすべての証明書は、PEM 暗号化 x509 証明書を指定し、ファイルには .crt 拡張子 (.pem ではない) が付いている必要があります。

--passphrase

オプション。証明書ファイルのパスフレーズ。入力するパスフレーズは保存中に暗号化されます。

注: パスフレーズに証明書のキー ファイルを作成する場合、SAML に SSL 証明書キーを再利用することはできません。

--protocols <list protocols>

オプション。許可したい、または禁止したいトランスポート レイヤー セキュリティ (TLS) プロトコル バージョンをリストします。

TLS は SSL の向上バージョンです。Tableau Server は接続を認証し、暗号化するために TLS を使用します。許容される値には Apache でサポートされるプロトコル バージョンが含まれます。プロトコルを無効化するには、-の記号をプロトコルバージョンの先頭に追加します。

既定の設定: "all, -SSLv2, -SSLv3"

この規定は明示的に外部クライアントが Tableau Server に接続するために SSL v2 または SSL v3 プロトコルを使用することを許可しません。ただし、TLS v1 および TLS v1.1 を禁止することを推奨します。

特定の TLS を拒否する前に、ユーザーたちが Tableau Server に接続するブラウザーが TLS v1.2 をサポートすることを確認してください。ブラウザーが更新されるまで、TLS v1.1 のサポートを維持する必要がある可能性があります。

TLS v1 または v1.1 をサポートする必要がなければ、次のコマンドを使用して TLS v1.2 (値 all を使用して) を許可し、明示的に SSL v2、SSL v3、TLS v1、および TLS v1.1 を拒否します。

tsm security external-ssl enable --cert-file file.crt --key-file file.key --protocols "all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"

tsm security external-ssl list

ゲートウェイ外部 SSL の構成に関する設定のリストを表示します。リストには使用中の証明書ファイルの名称が含まれますが、場所は含まれません。

シノプシス

tsm security external-ssl list [global options]

tsm security regenerate-internal-tokens

このコマンドを使用して、次の操作を実行します。

  1. Postgres リポジトリの検索サーバーに新しい内部 SSL 証明書を生成する。

  2. 社内で管理されるすべてのパスワードに新規パスワードを生成する。

  3. Postgres リポジトリのすべてのパスワードを更新する。

  4. 資産キー管理で新しい暗号化キーを生成し、資産キー データを新しいキーで暗号化する。

  5. 構成シークレットで新しい暗号化キー (マスター キー) を生成し、これを使用して構成を暗号化する。

  6. Tableau Server をこれらのすべてのシークレットで再構成し、更新する。分散展開では、このコマンドによって再構成が分散され、クラスタ内のすべてのノードで更新されます。

  7. サーバーを停止します。

  8. 新しいマスター キーを再生成し、マスター キーストア ファイルに追加してから、内部で使用するための新しいセキュリティ トークンを作成します。

  9. サーバーを起動します。

このコマンドを実行後にクラスタにノードを追加する場合は、新しいノード構成ファイルを生成して、このコマンドで生成されるトーク、キー、およびシークレットを更新する必要があります。追加のノードのインストールと構成を参照してください。

シノプシス

tsm security regenerate-internal-tokens [options] [global options]

オプション

--request-timeout <timeout in seconds>

オプション。

コマンドが終了するまで指定した時間待機します。既定値は 1800 (30 分) です。

tsm security repository-ssl disable

リポジトリと他のサーバー コンポーネントとの間のトラフィックの暗号化を停止して、Tableau クライアントからの直接接続のサポートを停止します。

シノプシス

tsm security repository-ssl disable [global-options]

tsm security repository-ssl enable

SSL を有効化し、Postgres リポジトリとその他のサーバー コンポーネント間の暗号化トラフィックに使用される、サーバーの .crt および .key ファイルを生成します。これを有効化することで、Tableau クライアントからサーバーへの直接接続を介した SSL も有効になります。

シノプシス

tsm security repository-ssl enable [options] [global options]

オプション

-i, --internal-only

オプション。--internal-only に設定されている場合、Tableau Server はリポジトリと他のサーバー コンポーネントとの間で SSL を使用し、SSL をサポートしても tableau または readonly (読み取り専用) ユーザーを通じて直接的に接続する場合は SSL を必要としません。

このオプションが設定されていない場合は、Tableau Server がリポジトリと他のサーバー コンポーネントとの間のトラフィック、および、Tableau クライアントとの直接的な接続 (tableau または readonly (読み取り専用) ユーザーを通じた接続) で SSL を必要とするように設定します。

このオプションを指定する場合は、クライアントからの直接接続を許可するよう Postgres SSL を構成するで説明する手順も完了する必要があります。

tsm security repository-ssl get-certificate-file

Tableau リポジトリとの SSL 通信に使用されるパブリック証明書ファイルを取得します。証明書の取得前に、リポジトリの通信で SSL を有効にする必要があります。証明書ファイルは、Tableau Server クラスタでリポジトリの内部クライアントに自動分散されます。リモート クライアントが SSL 経由でリポジトリに接続できるようにするには、パブリック証明書ファイルを各クライアントにコピーする必要があります。

シノプシス

tsm security repository-ssl get-certificate-file [global-options]

オプション

-f, --file

必須。

証明書ファイルを保存するフル パスとファイル名 (.cert 拡張子付き)。重複ファイルがある場合は上書きされます。

tsm security repository-ssl list

既存のリポジトリ (Postgres) の SSL 設定を返します。

シノプシス

tsm security repository-ssl list [global-options]

tsm security vizql-extsvc-ssl disable

SCRIPT 関数の外部サービス接続への接続を無効にします。

シノプシス

tsm security vizql-extsvc-ssl disable [global options]

tsm security vizql-extsvc-ssl enable

SCRIPT 関数の外部サービス接続への接続を有効にして構成します。Tableau Server は、Rserve または TabPy 接続で SSL をサポートしています。

シノプシス

tsm security vizql-extsvc-ssl enable --connection-type <type> --extsvc-host <host_name> --extsvc-port <port> [options] [global options]

オプション

--connection-type <type>

構成している外部サービスのタイプを指定します。有効な値は、rserve-securerservetabpy-securetabpy です。

--extsvc-host <host_name>

必須。外部サービスをホストしている組織内のサーバーの、ホスト名または IP アドレスを指定します。

--extsvc-port <port_number>

必須。外部サービスへの接続に使用するポートを指定します。通常、Rserve の既定値は 6311 です。通常、TabPy の既定値は 9004 です。

-cf, --cert-file <file.crt>

オプション。拡張子 .crt が付いた有効な PEM 暗号化 x509 証明書のパスとファイル名を指定します。

--extsvc-username <user_name>

オプション。外部サービスへの接続に認証が必要な場合に、ユーザー名を指定します。

--extsvc-password <password>

オプション。外部サービスへの接続に認証が必要な場合に、パスワードを指定します。

--connect-timeout-ms <milliseconds>

オプション。接続のタイムアウト (ミリ秒)。既定は 1000 です。外部サーバーが応答できるようになる前に Tableau がタイムアウトになった場合は、この設定の値を増やしてください。

--script-disabled <true | false>

オプション。Tableau Server で実行している外部サービスからのスクリプトを無効にします。既定は true です。外部サービスからのスクリプトを許可して Tableau Server で実行するには、false に設定します。

tsm security vizql-extsvc-ssl list

SCRIPT 関数での外部サービス SSL 接続の構成に関する設定のリストを表示します。このリストには、使用中の証明書ファイルの名前、ホスト名、ポート、ユーザー名、タイムアウト期間、その他の詳細が含まれます。

シノプシス

tsm security vizql-extsvc-ssl list [global options]

グローバル オプション

-h, --help

オプション。

コマンドのヘルプを表示します。

-p, --password <password>

アクティブなセッションがない場合は、必要に応じて -u または --username と一緒に使用します。

-u または --username で指定されたユーザーのパスワードを指定します。

パスワードにスペースや特殊文字が含まれる場合、これを引用符で囲みます。

--password "my password"

-s, --server <url_to_tsm>

オプション。

Tableau Services Manager で指定したアドレスを使用します。URL は https で始め、ポート 8850 を含め、IP アドレスではなくサーバー名を使用する必要があります (たとえば、https://mytableauhost:8850)。サーバーが指定されていない場合は、仮に https://<localhost | dnsname>:8850 とします。

--trust-admin-controller-cert

オプション。

このフラグは、TSM コントローラーで自己署名証明書を信頼するために使用します。証明書の信頼および CLI 接続の詳細については、TSM クライアントの接続を参照してください。

-u, --username <user>

アクティブなセッションがない場合は、必要に応じて -p または --password と一緒に使用します。

ユーザー アカウントを指定します。このオプションが含まれていない場合は、コマンドがサインインに使用した認証資格情報を使用して実行されています。

フィードバックをくださりありがとうございます! フィードバックの送信中にエラが発生しました。もう一度やり直すか、メッセージをお送りください