LDAP 외부 ID 저장소에 암호화된 채널 구성

외부 LDAP ID 저장소에 연결하도록 구성된 Tableau Server는 LDAP 디렉터리를 쿼리하고 세션을 설정해야 합니다. 세션을 설정하는 과정을 바인딩이라고 합니다. 바인딩 방법은 다양합니다. Tableau Server는 LDAP 디렉터리에 바인딩하는 두 가지 방법을 지원합니다.

  • 단순 바인딩: 사용자 이름과 비밀번호를 사용하여 인증하는 방식으로 세션을 설정합니다. 기본적으로 단순 바인딩을 사용하는 LDAP는 암호화되지 않습니다. 단순 바인딩으로 LDAP를 구성하는 경우LDAP over SSL/TLS를 사용하는 것이 좋습니다.

  • GSSAPI 바인딩: GSSAPI에서는 Kerberos를 사용하여 인증합니다. keytab 파일로 구성된 경우 GSSAPI 바인딩 중에 인증 보안이 유지됩니다. 그러나 LDAP 서버에 대한 후속 트래픽은 암호화되지 않습니다. LDAP over SSL/TLS를 구성하는 것이 좋습니다.

    Active Directory 도메인에 가입된 컴퓨터의 Windows에서 Tableau Server를 실행하는 경우 GSAPI를 구성할 필요가 없습니다. Tableau Server GUI 설치 프로그램은 Kerberos를 사용하여 자동으로 Active Directory 연결을 감지하고 구성합니다. 자세한 내용은 초기 노드 설정 구성을 참조하십시오. Active Directory 통신을 위해 단순 바인딩을 사용하여 LDAP를 실행하지 마십시오.

이 항목에서는 Tableau Server와 LDAP 디렉터리 서버 간의 통신을 위한 단순 LDAP 바인딩의 채널을 암호화하는 방법에 대해 설명합니다.

인증서 요구 사항

  • 암호화에 사용할 수 있는 유효한 PEM 인코딩 x509 SSL/TLS 인증서가 있어야 합니다. 인증서 파일의 확장명은 .crt여야 합니다.

  • 자체 서명 인증서는 지원되지 않습니다.

  • 설치하는 인증서는 SSL/TLS에 사용할 키 사용 필드에 Key Encipherment를 포함해야 합니다. Tableau Server는 LDAP 서버에 대한 채널을 암호화할 때만 이 인증서를 사용합니다. 만료, 신뢰, CRL 및 기타 특성은 유효성이 검사되지 않습니다.

  • 분산 배포에서 Tableau Server를 실행하는 경우 수동으로 SSL 인증서를 클러스터의 각 노드에 복사해야 합니다. Tableau Server 응용 프로그램 서버 프로세스가 구성된 노드에만 인증서를 복사하십시오. 클러스터 환경의 다른 공유 파일과 달리 LDAP에 사용되는 SSL 인증서는 클라이언트 파일 서비스에 의해 자동으로 배포되지 않습니다.

  • PKI 또는 자사 인증서를 사용하는 경우 CA 루트 인증서를 Java 신뢰 저장소에 업로드합니다.

Tableau 키 저장소로 인증서 가져오기

컴퓨터에 아직 LDAP 서버용으로 구성된 인증서가 설치되지 않은 경우 LDAP 서버용 SSL 인증서를 구해 Tableau 시스템 키 저장소로 가져와야 합니다.

"keytool" Java 도구를 사용하여 인증서를 가져옵니다. 기본 설치에서 이 도구는 Tableau Server의 C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe에 설치됩니다.

관리자로 다음 명령을 실행하여 인증서를 가져옵니다(환경의 <variables>를 바꿔야 함).

"C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe" -importcert -file "C:\Program Files\Tableau\Tableau Server\<LDAP-certificate-file>.crt" -alias "<ldapserver.name>" -keystore "C:\ProgramData\Tableau\Tableau Server\tableauservicesmanagerca.jks" -storepass changeit -noprompt

Java 키 저장소의 비밀번호는 changeit입니다. (Java 키 저장소의 비밀번호를 변경하지 마십시오.)

LDAPS 암호화 방법

Tableau Server는 단순 바인딩을 위해 LDAP 채널을 암호화할 수 있도록 LDAPS를 지원합니다.

보안 LDAP 또는 LDAPS는 구성이 필요한 표준 암호화된 채널입니다. 특히 Tableau Server의 TLS 인증서 외에도 대상 LDAP 서버의 호스트 이름 및 보안 LDAP 포트를 설정해야 합니다.

단순 바인딩을 위한 암호화된 채널 구성

조직에서 Active Directory가 아닌 LDAP 디렉터리를 사용하는 경우 여기에 있는 절차에 따라 LDAP 단순 바인딩을 위한 암호화된 채널을 구성합니다.

이 섹션에서는 LDAP 단순 바인딩을 위해 암호화된 채널을 사용하도록 Tableau Server를 구성하는 방법에 대해 설명합니다.

구성 시기

Tableau Server를 초기화하기 전 또는 초기 노드 설정 구성의 “TSM CLI 사용” 탭에 언급된 대로 초기 노드를 구성할 때 LDAP 단순 바인딩을 위한 암호화된 채널을 사용하도록 Tableau Server를 구성해야 합니다.

Tableau Server를 새로 설치하는 경우

조직에서 Active Directory 이외의 LDAP 디렉터리를 사용하는 경우 TSM GUI 설치 프로그램을 사용하여 Tableau Server 설치의 일부로 ID 저장소를 구성할 수 없습니다. 대신 JSON 항목 파일을 사용하여 LDAP ID 저장소를 구성해야 합니다. 자세한 내용은 identityStore 엔터티를 참조하십시오.

identityStore 엔터티를 구성하기 전에 이 항목의 앞부분에서 설명된 대로 유효한 SSL/TLS 인증서를 Tableau 키 저장소로 가져옵니다.

LDAPS를 구성하려면 identityStore JSON 파일에서 hostname 및 sslPort 옵션을 설정해야 합니다.

피드백을 제공해 주셔서 감사합니다!귀하의 피드백이 제출되었습니다. 감사합니다!