LDAP 構成リファレンス

このトピックでは、すべての LDAP 関連の構成オプションについて説明します。指定するオプション名は、LDAP の構成に使用するツールに依存します。

  • configEntities: identityStore エンティティに記載されているように、オプションが JSON ファイルを使用して設定されます。configEntites と入力する値は、保存する前に検証されます。

  • tsm CLI: tsm user-identity-store で説明されているように、オプションが tsm コマンド ライン ツールを使用して設定されます。tsm CLI と入力する値は、保存する前に検証されます。

  • configKey: オプションが、tsm configuration set のオプション を実行して設定されます。または、構成ファイルの例で説明されているように、オプションが JSON 構成ファイルに含まれている可能性があります。configKey を使用してオプションを設定する場合、入力する値は参照元となる .yml 構成ファイルに直接コピーされます。Tableau Server では値を検証しません。このため、configKeys は configEntites、tsm CLI、または TSM Web UI を使用して構成を設定するオプションが存在しない場合にのみ使用することをお勧めします。

Tableau Server を構成して Active Directory を使用する場合は、インストールに TSM Web UI を使用することをお勧めします。TSM Web UI は、必要な入力を最小限に抑えながら Active Directory 向けに Tableau Server を構成するよう最適化されています。初期ノード設定の構成を参照してください。

Tableau のアイデンティティ ストア構成ツール(Link opens in a new window)を使用して LDAP json 構成ファイルを生成することを検討してください。Tableau のアイデンティティ ストア構成ツールでは、tsm configuration set のオプション を実行して設定できるキー/値のペアのリストも生成されます。ツール自体は Tableau ではサポートされていません。ただし、ファイルを手動で作成する代わりにこのツールで作成された JSON ファイルを使用しても、サポートされるサーバーのステータスは変わりません。

configEntities

(オプションでは、大文字と小文字が区別されます)

tsm CLI configKey シナリオ

type N/A wgserver.authenticate AD、LDAP、ローカル

ユーザーの ID 情報を格納する場所。値: local または activedirectory

LDAP サーバーに接続する場合は、activedirectory と入力します。

sslPort N/A wgserver.domain.ssl_port AD、LDAP LDAP サーバーのセキュア ポートを指定します。シンプル バインドにはセキュア LDAP が推奨されます。通常 LDAPS はポート 636 です。
port N/A wgserver.domain.port AD、LDAP LDAP サーバーの非セキュア ポートを指定するためにこのオプションを使用します。プレーン テキストは通常 389 です。
domain domain wgserver.domain.default AD、LDAP

Windows の Active Directory 環境で、Tableau Server がインストールされているドメインを指定します (例: "example.lan")。LDAP ディレクトリで、ルート ドメイン名を同じ形式で指定します。たとえば、ルートが "dc=my,dc=root" の場合は "my.root" と指定します。

ルートで dc コンポーネントを使用しない場合は、以下の configEntity ルート オプションを参照してください。

tsm CLI: tsm user-identity-store set-connection [options] コマンドを使用します。

username ldapusername wgserver.domain.username AD、LDAP

ディレクトリ サービスとの接続に使用するユーザー名です。

指定するアカウントには、ディレクトリ サービスをクエリするパーミッションが必要です。

Active Directory にはユーザー名 (jsmith など) を入力します。

LDAP サーバーには、接続に使用するユーザーの識別名 (DN) を入力します。たとえば、"cn=jsmith,dc=example,dc=lan" とします。

tsm CLI: tsm user-identity-store set-connection [options] コマンドを使用します。

password ldappassword wgserver.domain.password AD、LDAP

LDAP サーバーとの接続に使用するユーザー アカウントのパスワード。

tsm CLI: tsm user-identity-store set-connection [options] コマンドを使用します。

directoryServiceType N/A wgserver.domain.directoryservice.type AD、LDAP

接続する LDAP ディレクトリ サービスのタイプ。値: activedirectory または openldap

kerberosPrincipal kerbprincipal wgserver.domain.ldap.principal AD、LDAP

ホスト マシン上の Tableau Server のサービス プリンシパル名。keytab には、このプリンシパルに対するパーミッションがなくてはなりません。システムでは既存の keytab を使用しないでください。代わりに、新しいサービス プリンシパル名の登録を推奨しています。指定された keytab のプリンシパルを表示するには、klist -k コマンドを実行します。Keytab 要件の理解を参照してください。

tsm CLI: tsm user-identity-store set-connection [options] コマンドを使用します。

hostname hostname wgserver.domain.ldap.hostname AD、LDAP

LDAP サーバーのホスト名です。この値のホスト名または IP アドレスを入力できます。ここで指定するホストは、プライマリ ドメインのユーザー/グループ クエリに使用されます。ユーザー/グループ クエリが他のドメインにある場合、Tableau Server は DNS にクエリを実行して適切なドメイン コントローラーを識別します。

tsm CLI: tsm user-identity-store set-connection [options] コマンドを使用します。

membersRetrievalPageSize N/A wgserver.domain.ldap.members.retrieval.page.size AD、LDAP

このオプションによって、LDAP クエリで返される結果の最大数が決まります。

たとえば、Tableau Server で 50,000 ユーザーを含む LDAP グループをインポートするというシナリオについて検討します。単一の操作でこのような多数のユーザーが含まれるインポートを試行することは、ベスト プラクティスではありません。このオプションを 1,500 に設定すると、Tableau Server は最初の応答でまず 1,500 ユーザーをインポートします。それらのユーザーが処理されたら、Tableau Server で次の1,500 ユーザーを LDAP サーバーからリクエストする、という手順です。

このオプションは、お使いの LDAP サーバーの要件に対応する場合にのみ変更することをお勧めします。

N/A N/A wgserver.domain.ldap.connectionpool.enabled AD、LDAP このオプションを true に設定すると、Tableau Server は LDAP サーバーにクエリを送信するときに同じ接続を再利用しようとします。この動作によって、新規リクエストごとに LDAP サーバーで再認証を行うオーバーヘッドを軽減することができます。接続プールは、シンプル バインドおよび TSL/SSL バインドによる接続でのみ機能します。接続プールは、GSSAPI バインド接続ではサポートされていません。
N/A N/A wgserver.domain.whitelist AD

Tableau Server からセカンダリ アクティブ ディレクトリ ドメインへの接続を許可します。セカンダリ ドメインは、Tableau Server がユーザー同期用に接続するドメインですが、Tableau Server がインストールされていないドメインです。Tableau Server が他の Active Directory ドメインに確実に接続できるようにするには TSM で wgserver.domain.whitelist オプションを設定して信頼されるドメインを指定する必要があります。詳細については、wgserver.domain.whitelistを参照してください。

kerberosConfig

kerbconfig

ダイレクト マッピングなし AD、LDAP

ローカル コンピューター上の Kerberos 構成ファイルのパス。Active Directory にインストールしている場合、ドメインで結合したコンピューターにある可能性がある既存の Kerberos 構成ファイルや keytab ファイルを使用することは推奨されていません。アイデンティティ ストアを参照してください。

tsm CLI: tsm user-identity-store set-connection [options] コマンドを使用します。

kerberosKeytab kerbkeytab ダイレクト マッピングなし AD、LDAP

ローカル コンピューター上の Kerberos keytab ファイルのパス。Tableau Server サービス専用のキーで keytab ファイルを作成し、この keytab ファイルをコンピューター上の他のアプリケーションと共有しないことが推奨されます。

tsm CLI: tsm user-identity-store set-connection [options] コマンドを使用します。

nickname N/A wgserver.domain.nickname AD

ドメインのニックネーム。これは Windows/Active Directory 環境の NetBIOS 名としても参照されます。すべての LDAP エンティティに nickname オプションが必要です。組織でニックネームや NetBIOS 名が不要な場合は、ブランク キーを渡します (例: "")。

root N/A wgserver.domain.ldap.root LDAP LDAP ルートでドメイン コンポーネントを使用しない場合、またはより複雑なルートを指定する必要がある場合には、LDAP ルートの設定が必要です。"o=my,u=root" の形式を使用します。たとえば、example.lan ドメインのルートは "o=example,u=lan" となります。
serverSideSorting N/A wgserver.domain.ldap.server_side_sorting LDAP クエリ結果をサーバー側で並べ替えるように LDAP サーバーを構成しているかどうかを示します。お使いの LDAP サーバーがサーバー側の並べ替えをサポートしている場合は、このオプションを true に設定します。LDAP サーバーがこれをサポートしているかどうかが不明な場合は、構成でエラーが発生する可能性があるため false と入力します。
rangeRetrieval N/A wgserver.domain.ldap.range_retrieval LDAP リクエストに対するクエリ結果の範囲を返すように LDAP サーバーを構成しているかどうかを示します。これは、多数のユーザーが含まれるグループが一度にではなく小分けにしてリクエストされることを意味します。範囲取得をサポートする LDAP サーバーは、クエリが大きい場合により良いパフォーマンスを発揮します。お使いの LDAP サーバーが範囲取得をサポートしている場合は、このオプションを true に設定します。LDAP サーバーがこれをサポートしているかどうかが不明な場合は、構成でエラーが発生する可能性があるため false と入力します。
bind N/A wgserver.domain.ldap.bind LDAP ディレクトリ サービスへの通信を保護する方法。Kerberos で LDAP サーバーに接続しているのでなければ、LDAP には「simple」と入力してください。Kerberos には、「gssapi」と入力します。
N/A N/A wgserver.domain.ldap.domain_custom_ports LDAP

: このキーは、Tableau Server on Linux でのみサポートされます。

子ドメインとその LDAP ポートをマッピングできます。ドメインとポートはコロン (:) で区切られ、ドメインとポートのペア間は FQDN1:port,FQDN2:port の形式のようにコンマ (,) で区切られます。

例: tsm configuration set -k wgserver.domain.ldap.domain_custom_ports -v childdomain1.lan:3269,childdomain2.lan:3269,childdomain3.lan:389

distinguishedNameAttribute N/A wgserver.domain.ldap.dnAttribute LDAP ユーザーの識別名を格納する属性です。この属性はオプションですが、LDAP クエリのパフォーマンスが大きく向上します。
groupBaseDn N/A wgserver.domain.ldap.group.baseDn LDAP

グループに代替ルートを指定します。たとえば、グループの全員が「groups」と呼ばれるベース組織に保存されている場合は、"o=groups" と入力します。

N/A classnames wgserver.domain.ldap.group.classnames LDAP

既定では、Tableau Server が「group」文字列を含む LDAP グループ オブジェクト クラスを探します。お使いの LDAP グループ オブジェクトが既定のクラス名に適合しない場合、この値を設定することでデフォルトを上書きします。コンマで区切って複数のクラス名を入力できます。

グループ名にカンマが含まれる場合は、バックスラッシュ (\) でエスケープする必要があります。たとえば、グループ名が groupOfNames, top の場合は、"groupOfNames\, top" と入力します。

tsm CLI: tsm user-identity-store set-group-mappings [options] コマンドを使用します。

groupBaseFilter basefilter wgserver.domain.ldap.group.baseFilter LDAP

Tableau Server のユーザー グループが使用するように設定するフィルターです。オブジェクト クラス属性および組織単位属性を指定する場合があります。例:

"(&(objectClass=groupofNames)(ou=Group))"

tsm CLI: tsm user-identity-store set-group-mappings [options] コマンドを使用します。

groupName groupname wgserver.domain.ldap.group.name LDAP

LDAP サーバーのグループ名に対応する属性です。

tsm CLI: tsm user-identity-store set-group-mappings [options] コマンドを使用します。

groupEmail groupEmail wgserver.domain.ldap.group.email LDAP

LDAP サーバーのグループの電子メール アドレスに対応する属性です。

tsm CLI: tsm user-identity-store set-group-mappings [options] コマンドを使用します。

groupDescription description wgserver.domain.ldap.group.description LDAP

LDAP サーバーのグループの説明に対応する属性です。

tsm CLI: tsm user-identity-store set-group-mappings [options] コマンドを使用します。

member member wgserver.domain.ldap.group.member LDAP

グループに含まれるユーザーの識別名のリストを含む LDAP 属性を指定します。

tsm CLI: tsm user-identity-store set-group-mappings [options] コマンドを使用します。

N/A N/A wgserver.domain.ldap.group.memberURL LDAP 動的なグループに LDAP クエリを格納する LDAP 属性の名前を指定します。
userBaseDn N/A wgserver.domain.ldap.user.baseDn LDAP ユーザーに代替ルートを指定します。たとえば、すべてのユーザーが「users」と呼ばれるベース組織に保存されている場合は、"o=users" と入力します。
N/A classnames wgserver.domain.ldap.user.classnames LDAP

既定では、Tableau Server が「user」および「inetOrgPerson」の文字列を含む LDAP ユーザー オブジェクト クラスを探します。お使いの LDAP ユーザー オブジェクトが既定のクラス名に適合しない場合、この値を設定することでデフォルトを上書きします。コンマで区切って複数のクラス名を入力できます。例: "userclass1, userclass2"

ユーザー名にカンマが含まれる場合は、バックスラッシュ (\) でエスケープする必要があります。たとえば、名前が Names, top の場合は、"Names\, top" と入力します。

tsm CLI: tsm user-identity-store set-user-mappings [options] コマンドを使用します。

userBaseFilter basefilter wgserver.domain.ldap.user.baseFilter LDAP

Tableau Server のユーザーが使用するように設定するフィルターです。オブジェクト クラス属性および組織単位属性を指定する場合があります。

例:

"(&(objectClass=inetOrgPerson)(ou=People))"

tsm CLI: tsm user-identity-store set-user-mappings [options] コマンドを使用します。

userUsername ldapusername wgserver.domain.ldap.user.username LDAP

LDAP サーバーのユーザー名に該当する属性です。

tsm CLI: tsm user-identity-store set-user-mappings [options] コマンドを使用します。

userDisplayName displayname wgserver.domain.ldap.user.displayname LDAP

LDAP サーバーのユーザーの表示名に該当する属性です。

tsm CLI: tsm user-identity-store set-user-mappings [options] コマンドを使用します。

userEmail email wgserver.domain.ldap.user.email LDAP

LDAP サーバーのユーザーのメール アドレスに該当する属性です。

tsm CLI: tsm user-identity-store set-user-mappings [options] コマンドを使用します。

userCertificate certificate wgserver.domain.ldap.user.usercertificate LDAP

LDAP サーバーのユーザーの証明書に該当する属性です。

tsm CLI: tsm user-identity-store set-user-mappings [options] コマンドを使用します。

N/A thumbnail wgserver.domain.ldap.user.thumbnail LDAP

LDAP サーバーのユーザーのサムネイル画像に該当する属性です。

tsm CLI: tsm user-identity-store set-user-mappings [options] コマンドを使用します。

userJpegPhoto jpegphoto wgserver.domain.ldap.user.jpegphoto LDAP

LDAP サーバーのユーザー プロファイル画像に該当する属性です。

tsm CLI: tsm user-identity-store set-user-mappings [options] コマンドを使用します。

memberOf memberof wgserver.domain.ldap.user.memberof LDAP

ユーザーがメンバーになっているグループです。

tsm CLI: tsm user-identity-store set-user-mappings [options] コマンドを使用します。

groupClassNames N/A wgserver.domain.ldap.group.classnames LDAP

既定では、Tableau Server が「group」文字列を含む LDAP グループ オブジェクト クラスを探します。お使いの LDAP グループ オブジェクトが既定のクラス名に適合しない場合、この値を設定することでデフォルトを上書きします。

configEntities の場合:このオプションは、各 クラスを引用符で囲み、コンマ (スペースなし) で区切り、括弧内で囲む必要がある文字列のリストを受け取ります。例: ["basegroup","othergroup"]

configKey の場合: 各クラスをコンマ (スペースなし) で区切り、二重引用符で囲んで入力します。例: "basegroup,othergroup”

userClassNames N/A wgserver.domain.ldap.user.classnames LDAP

既定では、Tableau Server が「user」および「inetOrgPerson」の文字列を含む LDAP ユーザー オブジェクト クラスを探します。お使いの LDAP ユーザー オブジェクトが既定のクラス名に適合しない場合、この値を設定することでデフォルトを上書きします。

configEntities の場合:このオプションは、各 クラスを引用符で囲み、コンマ (スペースなし) で区切り、括弧内で囲む必要がある文字列のリストを受け取ります。例: ["userclass1",userclass2”]

configKey の場合: 各クラスをコンマ (スペースなし) で区切り、二重引用符で囲んで入力します。例: "userclass1,userclass2”

計算済みの configKeys

以下の Kerberos 関連の configKeys が計算され、複数の環境入力に従って設定されます。このため、configKeys は CLI または configEnties によって設定される必要があります。これらの configKeys を手動で設定しようとしないでください。

計算済みの configKeys TSM CLI を使用する場合: configEntity json を使用する場合:

wgserver.domain.ldap.kerberos.conf,

cfs.ldap.kerberos.conf

Kerberos 構成ファイルの場所を、tsm user-identity-store set-connection [options] コマンドのkerbconfig オプションで設定します。

Kerberos 構成ファイルの場所を、kerberosConfig configEntity オプションで設定します。

wgserver.domain.ldap.kerberos.keytab,

cfs.ldap.kerberos.keytab

Kerberos キータブ ファイルの場所を、tsm user-identity-store set-connection [options] コマンドのkerbkeytab オプションで設定します。 Kerberos キータブ ファイルの場所を、kerberosKeytab configEntity オプションで設定します。

サポート対象外の configKeys

参照元となる YAML 構成ファイルには、サポート対象外の configKeys がいくつか存在します。以下のキーは標準の展開向けではありません。これらのキーを構成しないようにしてください。

  • wgserver.domain.ldap.kerberos.login
  • wgserver.domain.ldap.guid
  • wgserver.domain.fqdn
ありがとうございます! フィードバックの送信中にエラが発生しました。もう一度やり直すか、メッセージをお送りください