Help voor Tableau Server op Windows

De Tableau Server Administration Controller (ook wel Controller genoemd) is het beheercomponent voor beheerwijzigingen in het Tableau Server-cluster. Standaard wordt de controller uitgevoerd op het initiële (eerste) knooppunt van een Tableau Server-cluster. Hoewel het technisch mogelijk is om meerdere controllers in één Tableau-clusterimplementatie uit te voeren, wordt dit niet aanbevolen.

De Controller omvat een API die door verschillende clients beheerd kan worden: TSM CLI, TSM Web Client, REST-clients (curl, postman), enz. Met deze clients kunnen Tableau Server-beheerders configuratiewijzigingen aanbrengen in het servercluster. De Controller beheert en voert samen met Zookeeper de configuratiewijzigingen op de knooppunten uit.

Opmerking: zoals gebruikelijk wordt hier de term ’SSL’ gebruikt wanneer wordt verwezen naar het gebruik van TLS om HTTPS-verkeer te beveiligen.

Standaard wordt de clientverbinding versleuteld met SSL door een zelfondertekend certificaat dat tijdens de installatie door Tableau Server wordt gemaakt en door de Controller wordt vernieuwd. Naast encryptie wordt de identiteit (hostnaam of IP) van de Controller-hostcomputer gevalideerd aan de hand van de onderwerpnaam die in het certificaat staat tijdens de SSL-handshake. Omdat het certificaat echter zelfondertekend is, is de betrouwbaarheid ervan niet absoluut.

In het geval van een CLI-verbinding met de controller vormt het feit dat het certificaat niet volledig kan worden vertrouwd geen groot beveiligingsrisico, omdat een ‘man-in-the-middle’-aanval doorgaans vereist dat een gebruiker met verkeerde bedoelingen toegang krijgt tot het Tableau Server-cluster in een privénetwerk. Als een gebruiker met verkeerde bedoelingen het certificaat voor de controller in een CLI-scenario kan vervalsen, heeft de gebruiker met verkeerde bedoelingen de ‘sleutels tot het koninkrijk’ al.

In een scenario waarin beheerders verbinding maken met de controller via de TSM-webinterface van buiten het interne netwerk, vormt het ontbreken van hostvalidatie via een vertrouwde certificeringsinstantie echter een groter beveiligingsrisico.

Tot voor kort konden klanten die TSM Web UI op een Windows-computer gebruikten, het CA-certificaat van Tableau Server in een vertrouwde basisopslag van Windows opslaan. De meeste browsers valideren het vertrouwen van het certificaat op basis van deze configuratie. Tegenwoordig valideert (vertrouwt) Chrome geen zelfondertekende certificaten meer die in de vertrouwensopslag van het besturingssysteem zijn geplaatst. Tegenwoordig vertrouwt Chrome (en de meeste grote browsers) alleen nog certificaten die terug te voeren zijn op een vertrouwde externe hoofdcertificeringsinstantie (CA).

Met de functie voor aangepaste SSL TSM-certificaten wordt de vertrouwenskloof gedicht, omdat beheerders de TSM-controller kunnen configureren met een identiteitscertificaat dat is gekoppeld aan een vertrouwde externe hoofd-CA.

Er zijn een aantal belangrijke details die u moet begrijpen:

• Het vertrouwen in het aangepaste TSM SSL-certificaat wordt gevalideerd bij verbinding met de TSM-webinterface.
• Er wordt geen poging gedaan tot validatie van vertrouwen voor het TSM CLI-scenario. Zoals eerder beschreven, vormt een ‘man-in-the-middle’-aanval op het CLI-scenario geen geloofwaardig risico.
• De certificaatketen kan in de configuratie worden opgenomen. De keten kan alle certificaten overleggen die door tussenliggende CA's zijn ondertekend. De keten kan op elk punt eindigen en van certificaten die in de keten ontbreken, wordt aangenomen dat ze in de trust store van het besturingssysteem zijn geïnstalleerd.

U moet TSM CLI gebruiken om een aangepast SSL-certificaat voor TSM te configureren (of bij te werken).

Zie tsm security custom-tsm-ssl enable.