ความช่วยเหลือ Tableau Server บน Windows

Tableau Server Administration Controller (หรือที่เรียกว่า “ตัวควบคุม”) เป็นคอมโพเนนต์การจัดการสำหรับการเปลี่ยนแปลงการดูแลระบบไปยังคลัสเตอร์ Tableau Server โดยค่าเริ่มต้น ตัวควบคุมจะอยู่ในโหนดเริ่มต้น (แรก) ของคลัสเตอร์ ableau Server แม้ว่าจะเป็นไปได้ในทางเทคนิคที่จะเรียกใช้ตัวควบคุมหลายรายการในการปรับใช้คลัสเตอร์ Tableau เดียว แต่ไม่ใช่แนวทางปฏิบัติที่แนะนำ

ตัวควบคุมมี API ที่สามารถจัดการได้โดยไคลเอ็นต์ต่างๆ: TSM CLI, TSM Web Client, ไคลเอ็นต์ REST (curl, postman) เป็นต้น เมื่อใช้ไคลเอ็นต์เหล่านี้ ผู้ดูแล Tableau Server สามารถเปลี่ยนการกำหนดค่าสำหรับคลัสเตอร์เซิร์ฟเวอร์ได้ ตัวควบคุมพร้อมด้วย Zookeeper จัดการและดำเนินการเปลี่ยนแปลงการกำหนดค่าข้ามโหนดได้

หมายเหตุ ตามหลักการแล้ว คำว่า “SSL” จะใช้ในที่นี้เมื่อกล่าวถึงการใช้ TLS เพื่อรักษาความปลอดภัยให้กับการรับส่งข้อมูล HTTPS

โดยค่าเริ่มต้น การเชื่อมต่อไคลเอ็นต์จะได้รับการเข้ารหัสด้วย SSL โดยใช้ใบรับรองที่ได้รับการรับรองด้วยตนเองซึ่งสร้างขึ้นโดย Tableau Server ระหว่างการตั้งค่าและต่ออายุโดยตัวควบคุม นอกจากการเข้ารหัสแล้ว ข้อมูลประจำตัว (ชื่อโฮสต์หรือ IP) ของเครื่องโฮสต์ตัวควบคุมจะได้รับการตรวจสอบโดยเทียบกับชื่อเรื่องที่แสดงในใบรับรองในระหว่างมีการแฮนด์เชคของ SSL อย่างไรก็ตาม เนื่องจากใบรับรองที่ได้รับการรับรองด้วยตนเอง ความน่าเชื่อถือของใบรับรองจึงไม่สมบูรณ์

ในกรณีที่เชื่อมต่อ CLI กับตัวควบคุม ความไม่น่าเชื่อถือใบรับรองอย่างสมบูรณ์นั้นไม่ใช่ความเสี่ยงด้านความปลอดภัยอันใหญ่หลวง เนื่องจากโดยทั่วไปแล้ว การโจมตีแบบ man-in-the-midd leจะต้องให้ผู้ใช้ที่ประสงค์ร้ายเข้าถึงคลัสเตอร์ Tableau Server ในเครือข่ายส่วนตัว หากผู้ใช้ที่ประสงค์ร้ายสามารถปลอมแปลงใบรับรองสำหรับตัวควบคุมในสถานการณ์ CLI ได้ แสดงว่าผู้ใช้ที่ประสงค์ร้ายนั้นมี “ความรู้และทรัพยากร” อยู่แล้ว

อย่างไรก็ตาม ในสถานการณ์ที่ผู้ดูแลเชื่อมต่อกับตัวเชื่อมต่อผ่าน TSM Web UI จากภายนอกเครือข่ายภายใน การขาดการตรวจสอบโฮสต์ผ่านผู้ออกใบรับรองที่เชื่อถือได้ทำให้เกิดความเสี่ยงด้านความปลอดภัยมากขึ้น

ก่อนหน้านี้ ลูกค้าที่ใช้ TSM Web UI บนเครื่อง Windows สามารถวางใบรับรอง Tableau Server CA ในที่เก็บหลักที่เชื่อถือได้ของ Windows เบราว์เซอร์ส่วนใหญ่จะตรวจสอบความน่าเชื่อถือของใบรับรองโดยใช้การกำหนดค่านี้ ปัจจุบันนี้ Chrome จะไม่ตรวจสอบ (ความน่าเชื่อถือ) ใบรับรองที่ได้รับการรับรองด้วยตนเองซึ่งอยู่ในที่เก็บที่เชื่อถือของ OS อีกต่อไป ในขณะนี้ Chrome (และเบราว์เซอร์หลักๆ ส่วนใหญ่) จะเชื่อถือเฉพาะใบรับรองที่เชื่อมโยงกลับไปยัง CA ระดับสูงของบุคคลที่สามที่เชื่อถือได้เท่านั้น

คุณลักษณะของใบรับรอง SSL TSM แบบกำหนดเองจะปิดช่องว่างความน่าเชื่อถือโดยอนุญาตให้ผู้ดูแลกำหนดค่าตัวควบคุม TSM ด้วยใบรับรองข้อมูลประจำตัวที่เชื่อมโยงกลับไปยัง CA ระดับสูงของบุคคลที่สามที่เชื่อถือได้

มีรายละเอียดสำคัญหลายประการที่ต้องทำความเข้าใจ:

• ความเชื่อถือสำหรับใบรับรอง SSL แบบกำหนดเองของ TSM ได้รับการตรวจสอบเมื่อเชื่อมต่อกับ TSM Web UI
• จะไม่พยายามตรวจสอบความน่าเชื่อถือสำหรับสถานการณ์ TSM CLI ตามที่อธิบายไว้ก่อนหน้านี้ การโจมตีแบบ "man-in-the-middle" ในสถานการณ์ CLI ไม่ได้แสดงถึงความเสี่ยงที่น่าเชื่อถือ
• เชนใบรับรองอาจรวมอยู่ในการกำหนดค่า เชนอาจแสดงใบรับรองทั้งหมดที่มีการรับรองโดย CA ระดับกลาง เชนสามารถสิ้นสุดที่จุดใดก็ได้ และใบรับรองใดๆ ที่ขาดหายไปจากเชนจะถือว่าติดตั้งในที่เก็บที่เชื่อถือของระบบปฏิบัติการ

คุณต้องใช้ TSM CLI เพื่อกำหนดค่า (หรืออัปเดต) ใบรับรอง SSL ที่กำหนดเองสำหรับ TSM

ดู tsm security custom-tsm-ssl enable