กำหนดค่าช่องทางที่เข้ารหัสไปยังที่เก็บข้อมูลประจำตัวภายนอก LDAP
Tableau Server ที่กำหนดค่าให้เชื่อมต่อกับที่เก็บข้อมูลประจำตัว LDAP ภายนอกต้องค้นหาไดเรกทอรี LDAP และสร้างเซสชัน กระบวนการสร้างเซสชันเรียกว่าการผูก วิธีการผูกอยู่หลายวิธี Tableau Server รองรับการผูกกับไดเรกทอรี LDAP 2 วิธี:
การผูกแบบง่าย: สร้างเซสชันโดยการตรวจสอบสิทธิ์ด้วยชื่อผู้ใช้และรหัสผ่าน ตามค่าเริ่มต้น LDAP ที่มีการผูกแบบธรรมดาจะไม่ถูกเข้ารหัส หากคุณจะกำหนดค่า LDAP ด้วยการผูกแบบง่าย เราขอแนะนำให้คุณเปิดใช้งาน LDAP ผ่าน SSL/TLS
ผูก GSSAPI: GSSAPI ใช้ Kerberos เพื่อตรวจสอบสิทธิ์ เมื่อกำหนดค่าด้วยไฟล์คีย์แท็บ การตรวจสอบสิทธิ์จะปลอดภัยในระหว่างการผูก GSSAPI อย่างไรก็ตาม การรับส่งข้อมูลไปยังเซิร์ฟเวอร์ LDAP ที่ตามมาจะไม่ได้รับการเข้ารหัส เราแนะนำให้กำหนดค่า LDAP ผ่าน SSL/TLS
หากคุณกำลังเรียกใช้ Tableau Server บน Windows บนคอมพิวเตอร์ที่เข้าร่วมโดเมน Active Directory คุณไม่จำเป็นต้องกำหนดค่า GSAPI การตั้งค่า GUI ของ Tableau Server จะตรวจจับและกำหนดค่าการเชื่อมต่อ Active Directory สำหรับคุณโดยใช้ Kerberos โปรดดูกำหนดการตั้งค่าโหนดเริ่มต้น อย่าเรียกใช้ LDAP ด้วยการผูกแบบง่ายสำหรับการสื่อสาร Active Directory
หัวข้อนี้อธิบายวิธีเข้ารหัสช่องทางสำหรับการผูก LDAP อย่างง่ายสำหรับการสื่อสารระหว่าง Tableau Server และเซิร์ฟเวอร์ไดเรกทอรี LDAP
ข้อกำหนดของใบรับรอง
คุณต้องมีใบรับรอง x509 SSL/TLS ที่เข้ารหัส PEM ที่ถูกต้องซึ่งใช้สำหรับการเข้ารหัส ไฟล์ใบรับรองต้องมีนามสกุล .crt
ไม่รองรับใบรับรองที่ที่ลงนามด้วยตนเอง
ใบรับรองที่คุณติดตั้งต้องมี
Key Encipherment
ในฟิลด์การใช้คีย์เพื่อใช้สำหรับ SSL/TLS Tableau Server จะใช้ใบรับรองนี้เพื่อเข้ารหัสช่องทางไปยังเซิร์ฟเวอร์ LDAP เท่านั้น การหมดอายุ ความเชื่อถือ และ CRL และแอตทริบิวต์อื่นๆ จะไม่ถูกตรวจสอบความถูกต้องหากคุณใช้งาน Tableau Server ในการปรับใช้แบบกระจาย คุณต้องคัดลอกใบรับรอง SSL ไปยังแต่ละโหนดในคลัสเตอร์ด้วยตนเอง คัดลอกใบรับรองไปยังโหนดที่มีการกำหนดค่ากระบวนการเซิร์ฟเวอร์แอปพลิเคชันของ Tableau Server เท่านั้น แตกต่างจากไฟล์ที่แชร์อื่นๆ ในสภาพแวดล้อมคลัสเตอร์ ใบรับรอง SSL ที่ใช้สำหรับ LDAP จะไม่ถูกแจกจ่ายโดยอัตโนมัติโดย Client File Service
- หากคุณใช้ PKI หรือใบรับรองที่ไม่ใช่ของบุคคลที่สาม ให้อัปโหลดใบรับรองหลักของ CA ไปยังที่เก็บที่เชื่อถือได้ของ Java
นำเข้าใบรับรองไปยังคีย์สโตร์ของ Tableau
หากคุณไม่มีใบรับรองในคอมพิวเตอร์ที่กำหนดค่าไว้สำหรับเซิร์ฟเวอร์ LDAP คุณต้องขอรับใบรับรอง SSL สำหรับเซิร์ฟเวอร์ LDAP และนำเข้าใบรับรองนั้นไปยังคีย์สโตร์ของระบบ Tableau
ใช้เครื่องมือ Java "keytool" เพื่อนำเข้าใบรับรอง ในการติดตั้งเริ่มต้น เครื่องมือนี้ได้รับการติดตั้งด้วย Tableau Server ที่ C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe
เรียกใช้คำสั่งต่อไปนี้ในฐานะผู้ดูแลระบบเพื่อนำเข้าใบรับรอง (คุณต้องแทนที่ <variables>
สำหรับสภาพแวดล้อมของคุณ):
"C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe" -importcert -file "C:\Program Files\Tableau\Tableau Server\<LDAP-certificate-file>.crt" -alias "<ldapserver.name>" -keystore "C:\ProgramData\Tableau\Tableau Server\tableauservicesmanagerca.jks" -storepass changeit -noprompt
รหัสผ่านสำหรับคีย์สโตร์ Java คือ changeit
(อย่าเปลี่ยนรหัสผ่านสำหรับคีย์สโตร์ Java)
วิธีการเข้ารหัส LDAPS
Tableau Server รองรับ LDAPS สำหรับการเข้ารหัสฟิลด์ LDAP สำหรับการผูกอย่างง่าย
LDAP ที่ปลอดภัยหรือ LDAPS เป็นช่องทางเข้ารหัสมาตรฐานที่ต้องมีการกำหนดค่า นอกจากใบรับรอง TLS บน Tableau Server แล้ว เป็นเรื่องจำเป็นอย่างมากที่คุณต้องตั้งชื่อโฮสต์และพอร์ต LDAP ที่ปลอดภัยสำหรับเซิร์ฟเวอร์ LDAP เป้าหมาย
กำหนดค่าช่องทางที่เข้ารหัสสำหรับการผูกอย่างง่าย
หากองค์กรของคุณใช้ไดเรกทอรี LDAP อื่นที่ไม่ใช่ Active Directory ให้ทำตามขั้นตอนที่นี่เพื่อกำหนดค่าช่องทางที่เข้ารหัสสำหรับการผูก LDAP อย่างง่าย
ส่วนนี้อธิบายวิธีกำหนดค่า Tableau Server ให้ใช้ช่องทางที่เข้ารหัสสำหรับการผูก LDAP อย่างง่าย
เมื่อใดที่ควรกำหนดค่า
คุณต้องกำหนดค่า Tableau Server เพื่อใช้ช่องทางที่เข้ารหัสสำหรับการผูก LDAP อย่างง่ายก่อนที่ Tableau Server จะเริ่มต้นหรือเป็นส่วนหนึ่งของการกำหนดค่าโหนดเริ่มต้นตามที่กล่าวไว้ในแท็บ "ใช้ TSM CLI" ในกำหนดการตั้งค่าโหนดเริ่มต้น
สำหรับการติดตั้ง Tableau Server ใหม่
หากองค์กรของคุณใช้ไดเรกทอรี LDAP อื่นที่ไม่ใช่ Active Directory คุณจะใช้การตั้งค่า TSM GUI เพื่อกำหนดค่าที่เก็บข้อมูลประจำตัวเป็นส่วนหนึ่งของการติดตั้ง Tableau Server ไม่ได้ คุณต้องใช้ไฟล์เอนทิตี JSON เพื่อกำหนดค่าที่เก็บข้อมูลประจำตัว LDAP แทน โปรดดู เอนทิตี identityStore
ก่อนที่คุณจะกำหนดค่าเอนทิตี identityStore ให้นำเข้าใบรับรอง SSL/TLS ที่ถูกต้องไปยังคีย์สโตร์ของ Tableau ตามที่ระบุไว้ก่อนหน้าในหัวข้อนี้
การกำหนดค่า LDAPS ต้องตั้งค่าชื่อโฮสต์และตัวเลือก sslPort ในไฟล์ identityStore JSON