Configurar canal criptografado no armazenamento de identidade externo LDAP

O Tableau Server configurado para se conectar a um armazenamento de identidade LDAP externo deve consultar o diretório LDAP e estabelecer uma sessão. O processo de criação de uma sessão é chamado associação. Há diversas formas de associação. O Tableau Server é compatível com dois métodos de associação a um diretório LDAP:

  • Associação simples: estabelece uma sessão ao autenticar com um nome de usuário e uma senha. Por padrão, o LDAP com associação simples não é criptografado. Se estiver configurando LDAP com associação simples, recomendamos habilitá-lo com SSL/TLS.

  • Associação ao GSSAPI: o GSSAPI usa o Kerberos para autenticação. Quando configurada com um arquivo keytab, a autenticação é segura durante a associação ao GSSAPI. No entanto, o tráfego subsequente para o servidor LDAP não é criptografado. Recomendamos configurar o LDAP com SSL/TLS.

    Se você estiver executando o Tableau Server no Windows em um computador que faz parte de um domínio do Active Directory, não precisa configurar o GSAPI. A configuração da Interface gráfica do usuário do Tableau Server detectará e configurará a conexão do Active Directory para você usando Kerberos. Consulte Configurar as definições do nó inicial. Não execute o LDAP com simples associação para comunicações do Active Directory.

Este tópico descreve como criptografar o canal para associação simples do LDAP para comunicações entre servidores de diretório Tableau Server e LDAP.

Requisitos de certificado

  • Você deve ter um certificado codificado em PEM x509 SSL/TLS válido que pode ser usado para criptografia. O arquivo de certificado deve ter uma extensão .crt.

  • Certificados autoassinados não são aceitos.

  • O certificado que você instala deve incluir Key Encipherment no campo de uso chave a ser usado para SSL/TLS. O Tableau Server usará apenas este certificado para criptografar o canal para o servidor LDAP. O vencimento, a confiança e o CRL e outros atributos não são validados.

  • Se você estiver executando o Tableau Server em uma implantação distribuída, copie manualmente o certificado SSL para cada nó do cluster. Copie o certificado somente para os nós em que o processo do servidor de aplicativos do Tableau Server esteja configurado. Diferentemente de outros arquivos compartilhados em um ambiente de cluster, o certificado SSL usado para LDAP não será distribuído automaticamente pelo Serviço de arquivo do cliente.

  • Se você estiver usando um certificado PKI ou não de terceiros, carregue o certificado raiz da CA no armazenamento confiável Java.

Importação de certificado para o repositório de chaves do Tableau

Caso ainda não tenha certificados no computador configurado para o servidor LDAP, é necessário obter um certificado SSL para o servidor LDAP e importá-lo para o repositório de chaves do sistema Tableau.

Use a ferramenta "keytool" do Java para importar os certificados. Em uma instalação padrão, esta ferramenta está instalada com o Tableau Server em C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe.

Execute o comando a seguir como administrador para importar o certificado (você deve substituir o <variables> para o seu ambiente):

"C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe" -importcert -file "C:\Program Files\Tableau\Tableau Server\<LDAP-certificate-file>.crt" -alias "<ldapserver.name>" -keystore "C:\ProgramData\Tableau\Tableau Server\tableauservicesmanagerca.jks" -storepass changeit -noprompt

A senha para o repositório de chaves Java é changeit. (Não altere a senha do repositório de chaves Java).

Método de criptografia LDAPS

O Tableau Server é compatível com LDAPS para criptografar o canal LDAP para uma associação simples.

O LDAP seguro, ou LDAPS, é um canal criptografado padrão que requer mais configuração. Especificamente, além de um certificado TLS no Tableau Server, você deve definir o nome do host e a porta LDAP segura para o servidor LDAP de destino.

Configuração de canal criptografado para simples associação

Se sua organização usar um diretório LDAP diferente do Active Directory, siga os procedimentos aqui para configurar um canal criptografado para associação simples LDAP.

Esta seção descreve como configurar o Tableau Server para usar um canal criptografado para associação simples LDAP.

Quando configurar

Você deve configurar o Tableau Server para usar um canal criptografado para vínculo simples LDAP, antes que o Tableau Server seja inicializado ou como parte da configuração do nó inicial, conforme mencionado na guia “Usar a CLI do TSM” em Configurar as definições do nó inicial.

Para novas instalações do Tableau Server

Se sua organização usar um diretório LDAP diferente do Active Directory, então você não poderá usar a configuração de interface gráfica de usuário do TSM para configurar o armazenamento de identidade como parte da instalação do Tableau Server. Em vez disso, você deve usar arquivos de entidade JSON para configurar o armazenamento de identidade LDAP. Consulte Entidade identityStore.

Antes de configurar a entidade de identityStore, importe um certificado SSL/TLS válido para o repositório de chaves do Tableau, conforme documentado anteriormente neste tópico.

Configurar o LDAPS requer definir as opções hostname e sslPort no arquivo JSON identityStore.

Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!