Konfigurera den krypterade kanalen till LDAP:s externa identitetsregister


Tableau Server som är konfigurerad att ansluta till ett externt LDAP-identitetsregister måste fråga LDAP-katalogen och skapa en session. Processen för att upprätta en session kallas bindande. Det finns flera sätt att binda. Tableau Server stöder två metoder för att binda till en LDAP-katalog:

  • Enkel bindning: Upprättar en session genom att autentisera med ett användarnamn och lösenord. Som standard krypteras inte LDAP med enkel bindning. Om du konfigurerar LDAP med enkel bindning bör du aktivera LDAP över SSL/TLS.

  • GSSAPI-bindning: GSSAPI använder Kerberos för att autentisera. När den är konfigurerad med en keytab-fil är autentiseringen säker under GSSAPI-bindning. Efterföljande trafik till LDAP-servern krypteras emellertid inte. Vi rekommenderar att du konfigurerar LDAP över SSL/TLS.

    Om du kör Tableau Server på Windows på en dator som är ansluten till en Active Directory-domän behöver du inte konfigurera GSAPI. Installationen av det grafiska gränssnittet för Tableau Server detekterar och konfigurerar Active Directory-anslutningen åt dig med Kerberos. Läs mer i Konfigurera initiala nodinställningar. Kör inte LDAP med enkel bindning för Active Directory-kommunikation.

Detta ämne beskriver hur man krypterar kanalen för enkel LDAP-bindning för kommunikation mellan Tableau Server och LDAP-katalogservrar.

Certifikatkrav

  • Du måste ha ett giltigt PEM-kodat x509 SSL/TLS-certifikat som kan användas för kryptering. Certifikatfilen måste ha filtillägget .crt.

  • Självsignerade certifikat stöds inte.

  • Certifikatet du installerar måste inkludera Key Encipherment i fältet för nyckelanvändning som ska användas för SSL/TLS. Tableau Server kommer endast att använda detta certifikat för att kryptera kanalen till LDAP-servern. Utgångsdatum, förtroende, CRL och andra attribut valideras inte.

  • Om Tableau Server körs i en distribuerad driftsättning måste SSL-certifikatet kopieras manuellt till varje nod i klustret. Kopiera endast certifikatet till de noder där programserverprocessen för Tableau Server är konfigurerad. Till skillnad från andra delade filer i en klustermiljö distribueras inte SSL-certifikatet som används för LDAP automatiskt av klientfilstjänsten.

  • Om ett PKI eller icke tredje parts certifikat används ska CA-rotcertifikatet laddas upp till Java Trust Store.

Importera certifikat till Tableau nyckelarkiv

Om du inte redan har certifikat på datorn som är konfigurerade för LDAP-servern måste du skaffa ett SSL-certifikat för LDAP-servern och importera det till Tableau-systemets nyckelarkiv.

Använd Java-verktyget ”keytool” för att importera certifikat. I en standardinstallation installeras det här verktyget med Tableau Server på C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe.

Kör följande kommando som administratör för att importera certifikatet (du måste ersätta <variables> för din miljö):

"C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe" -importcert -file "C:\Program Files\Tableau\Tableau Server\<LDAP-certificate-file>.crt" -alias "<ldapserver.name>" -keystore "C:\ProgramData\Tableau\Tableau Server\tableauservicesmanagerca.jks" -storepass changeit -noprompt

Lösenordet för Java-nyckelarkiv är changeit. (Ändra inte lösenordet för Java-nyckelarkiv.)

LDAPS-krypteringsmetod

Tableau Server stöder LDAPS för kryptering av LDAP-kanalen för enkel bindning.

Säker LDAP, eller LDAPS är en krypterad standardkanal som kräver mer konfiguration. Närmare bestämt måste du, utöver att ha ett TLS-certifikat på Tableau Server, ange värdnamnet och den säkra LDAP-porten för LDAP-målservern.

Anpassa krypterad kanal för enkel bindning

Om din organisation använder en annan LDAP-katalog än Active Directory följer du rutinerna här för att konfigurera en krypterad kanal för enkel LDAP-bindning.

Det här avsnittet beskriver hur man konfigurerar Tableau Server att använda en krypterad kanal för enkel LDAP-bindning.

När du ska konfigurera

Du måste konfigurera Tableau Server till att använda en krypterad kanal för enkel LDAP-bindning innan Tableau Server initieras eller som en del konfigureringen av den initiala nod som nämns i fliken ”Använd TSM CLI” i Konfigurera initiala nodinställningar.

För nya installationer av Tableau Server

Om din organisation använder en annan LDAP-katalog än Active Directory kan du inte använda installationsprogrammet för TSM GUI för att konfigurera identitetsregistret som en del av installationen av Tableau Server. Du måste istället använda JSON-entitetsfiler för att konfigurera LDAP-identitetsregistret. Se identityStore Entity.

Innan du konfigurerar identityStore-enheten importerar du ett giltigt SSL/TLS-certifikat till Tableau-nyckellagret som anges tidigare i detta ämne.

När du konfigurerar LDAPS krävs att du ställer in värdnamn och sslPort-alternativ i JSON-filen för identityStore.

Tillbaka till toppen
Tack för din feedback!Din feedback har skickats in. Tack!