Versleuteld kanaal voor externe LDAP-identiteitenarchief configureren

Een Tableau Server die is geconfigureerd om verbinding te maken met een extern LDAP-identiteitenarchief, moet een query uitvoeren op de LDAP-directory en een sessie tot stand brengen. Het proces van het instellen van een sessie wordt binding genoemd. Er zijn meerdere manieren om te binden. Tableau Server ondersteunt twee methoden voor binding aan een LDAP-directory:

  • Eenvoudig binden: hiermee wordt een sessie tot stand gebracht door verificatie met een gebruikersnaam en wachtwoord. LDAP met eenvoudige binding is standaard niet versleuteld. Als u LDAP met eenvoudige binding configureert, raden we u sterk aan LDAP via SSL/TLS in te schakelen.

  • GSSAPI-binding: GSSAPI gebruikt Kerberos voor verificatie. Mits geconfigureerd met een keytab-bestand is verificatie tijdens GSSAPI-binding veilig. Het daaropvolgende verkeer naar de LDAP-server wordt echter niet versleuteld. We raden aan om LDAP te configureren via SSL/TLS.

    Als u Tableau Server in Windows uitvoert op een computer die lid is van een Active Directory-domein, hoeft u GSAPI niet te configureren. Tableau Server GUI-configuratie detecteert en configureert de Active Directory-verbinding voor u met behulp van Kerberos. Zie Initiële knooppuntinstellingen configureren. Voer LDAP niet met eenvoudige binding uit voor Active Directory-communicatie.

In dit onderwerp wordt beschreven hoe u het kanaal voor eenvoudige LDAP-binding kunt versleutelen voor communicatie tussen Tableau Server en LDAP-directoryservers.

Certificaatvereisten

  • U hebt een geldig PEM-gecodeerd x509 SSL/TLS-certificaat nodig dat voor versleuteling kan worden gebruikt. Het certificaatbestand moet de extensie .crt hebben.

  • Zelfondertekende certificaten worden niet ondersteund.

  • Het certificaat dat u installeert, moet Key Encipherment bevatten in het veld voor sleutelgebruik dat voor SSL/TLS moet worden gebruikt. Tableau Server gebruikt dit certificaat alleen voor het versleutelen van het kanaal naar de LDAP-server. De vervaldatum, vertrouwensrelatie, CRL en andere kenmerken worden niet gevalideerd.

  • Als u Tableau Server uitvoert in een gedistribueerde implementatie, moet u het SSL-certificaat handmatig kopiëren naar elk knooppunt in de cluster. Kopieer het certificaat alleen naar knooppunten waarop het Tableau Server Application Server-proces is geconfigureerd. In tegenstelling tot andere gedeelde bestanden in een clusteromgeving wordt het SSL-certificaat dat voor LDAP wordt gebruikt, niet automatisch gedistribueerd door de Client File Service.

  • Als u een PKI-certificaat of een certificaat van een derde partij gebruikt, uploadt u het CA-hoofdcertificaat naar de Java-vertrouwensopslag.

Certificaat importeren in de Tableau-sleutelopslag

Als er nog geen certificaten op de computer staan die voor de LDAP-server zijn geconfigureerd, moet u een SSL-certificaat voor de LDAP-server verkrijgen en dit importeren in de sleutelopslag van het Tableau-systeem.

Gebruik de Java-tool "keytool" om certificaten te importeren. Bij een standaardinstallatie wordt deze tool geïnstalleerd met Tableau Server op C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe.

Voer de volgende opdracht uit als beheerder om het certificaat te importeren (u moet de <variables> voor uw omgeving vervangen):

"C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe" -importcert -file "C:\Program Files\Tableau\Tableau Server\<LDAP-certificate-file>.crt" -alias "<ldapserver.name>" -keystore "C:\ProgramData\Tableau\Tableau Server\tableauservicesmanagerca.jks" -storepass changeit -noprompt

Het wachtwoord voor de Java-sleutelopslag is changeit. (Wijzig het wachtwoord voor de Java-sleutelopslag niet).

LDAPS-versleutelingsmethode

Tableau Server ondersteunt LDAPS voor het versleutelen van het LDAP-kanaal voor eenvoudige binding.

Secure LDAP, of LDAPS, is een standaard versleuteld kanaal dat configuratie vereist. Met name moet u naast een TLS-certificaat op Tableau Server ook de hostnaam en de beveiligde LDAP-poort voor de doel-LDAP-server instellen.

Versleuteld kanaal voor eenvoudige binding configureren

Als uw organisatie een andere LDAP-directory dan Active Directory gebruikt, volgt u deze procedures voor het configureren van een versleuteld kanaal voor eenvoudige LDAP-binding.

In deze sectie wordt beschreven hoe u Tableau Server kunt configureren om een versleuteld kanaal te gebruiken voor eenvoudige LDAP-binding.

Wanneer configureren

U moet Tableau Server configureren om een versleuteld kanaal te gebruiken voor eenvoudige LDAP-binding voordat Tableau Server wordt geïnitialiseerd, of als onderdeel van de configuratie van het eerste knooppunt, zoals vermeld op het tabblad TSM-CLI gebruiken in Initiële knooppuntinstellingen configureren.

Voor nieuwe installaties van Tableau Server

Als uw organisatie een andere LDAP-directory dan Active Directory gebruikt, kunt u de TSM GUI-installatie niet gebruiken om het identiteitenarchief te configureren als onderdeel van de Tableau Server-installatie. In plaats daarvan moet u JSON-entiteitsbestanden gebruiken om het LDAP-identiteitenarchief te configureren. Zie identityStore-entiteit.

Voordat u de identityStore-entiteit configureert, importeert u een geldig SSL/TLS-certificaat in de Tableau-sleutelopslag, zoals eerder in dit onderwerp beschreven.

Voor het configureren van LDAPS moet u de hostnaam- en sslPort-opties instellen in het IdentityStore JSON-bestand.

Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.