tsm security

使用 tsm security 命令配置 Tableau Server 对外部(网关)SSL 或存储库 (Postgres) SSL 的支持。 存储库 SSL 配置包括通过从 Tableau 客户端(包括 Tableau Desktop、Tableau Mobile 和 Web 浏览器)到存储库的直接连接来启用 SSL 的选项。

先决条件

在配置 SSL 之前,您必须获取证书,然后将其复制到运行 Tableau Server 网关进程的计算机。需要进行额外的准备才能启用客户端直接连接。若要了解详情,请参阅以下文章:

针对与来往 Tableau Server 的外部 HTTP 流量配置 SSL

针对内部 Postgres 通信配置 SSL

 有关相互(双向)SSL 的信息,请参见配置相互 SSL 身份验证tsm authentication mutual-ssl 命令

tsm security custom-cert add

将自定义 CA 证书添加到 Tableau Server。此证书可根据需要用于为 SMTP 服务器和 Tableau Server 之间的 TLS 通信建立信任。

如果自定义证书已存在,此命令将失败。您可以使用 tsm security custom-cert delete 命令移除现有自定义证书。

注意:使用此命令添加的证书可能由其他 Tableau Server 服务用于 TLS 连接。

作为灾难恢复计划的一部分,我们建议将证书文件的备份保留在 Tableau Server 外的安全位置。添加到 Tableau Server 的证书文件将由客户端文件服务存储并分发到其他节点。但是,该文件不会以可恢复格式存储。请参见Tableau Server 客户端文件服务

概要

tsm security custom-cert add --cert-file <file.crt> [global options]

选项

-c, --cert-file <file.crt>

必需。以有效 PEM 或 DER 格式指定证书文件的名称。

tsm security custom-cert delete

移除服务器的现有自定义证书。这样,您就可以添加新的自定义证书。

概要

tsm security custom-cert delete[global options]

tsm security custom-cert list

列出自定义证书的详细信息。

概要

tsm security custom-cert list[global options]

tsm security external-ssl disable

删除服务器现有的 SSL 配置设置,并停止加密外部客户端与服务器之间的流量。

概要

tsm security external-ssl disable [global options]

tsm security external-ssl enable

通过外部 HTTP 通信为 SSL 启用和指定证书和密钥文件。

概要

tsm security external-ssl enable --cert-file <file.crt> --key-file <file.key> [options] [global options]

选项

--cert-file <file.crt>

必需。指定有效的 PEM 编码 x509 证书的名称,其扩展名为 .crt。

--key-file <file.key>

必需。指定有效的 RSA 或 DSA 私钥文件(按照约定具有 .key 扩展名)。

--chain-file <chainfile.crt>

指定证书链文件 (.crt)

Mac 上的 Tableau Desktop 需要证书链文件。在某些情况下,Tableau Mobile 可能需要证书链文件。

某些证书提供者会针对 Apache 颁发两个证书。第二个证书是链文件,连接构成服务器证书的证书链的所有证书。

文件中的所有证书必须为 x509 PEM 编码,文件扩展名必须为 .crt(而不是 .pem)。

--passphrase

可选。证书文件的密码。您输入的密码将在空闲时加密。

注意:如果创建包含密码的证书密钥文件,则无法为 SAML 重用 SSL 证书密钥。

--protocols <列出协议>

可选。列出想要允许或拒绝的传输层安全性 (TLS) 协议版本。

TLS 是 SSL 的改进版本。Tableau Server 使用 TLS 来进行身份验证和加密连接。接受的值包括 Apache 支持的协议版本。要拒绝协议,请在协议版本前面添加减号 (-) 字符。

默认设置:"all, -SSLv2, -SSLv3"

此默认值显式不允许客户端使用 SSL v2 或 SSL v3 协议连接到 Tableau Server。但是,我们建议您也拒绝 TLS v1 和 TLS v1.1。

在您拒绝特定版本的 TLS 之前,请确认您的用户连接到 Tableau Server 所使用的浏览器是否支持 TLS v1.2。在浏览器更新之前,您可能需要保留对 TLSv1.1 的支持。

如果您不需要支持 TLS v1 或 v1.1,请使用以下命令允许 TLS v1.2(使用值 all),并显式拒绝 SSL v2、SSL v3、TLS v1 和 TLS v1.1。

tsm security external-ssl enable --cert-file file.crt --key-file file.key --protocols "all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"

tsm security external-ssl list

显示与网关外部 SSL 配置相关的设置列表。该列表包括正在使用的证书文件的名称,但不包括其位置。

概要

tsm security external-ssl list [global options]

tsm security kms set-mode aws

将 KMS 模式设置为 AWS。

您将需要 AWS KMS 中的完整 ARN 字符串。此字符串位于 AWS KMS 管理页面的“常规配置”部分中。ARN 以此格式显示: arn:aws:kms:<region>:<account>:key/<CMK_ID>,例如,arn:aws:kms:us-west-2:867530990073:key/1abc23de-fg45-6hij-7k89-1l0mn1234567

有关详细信息,请参见密钥管理系统

概要

tsm security kms set-mode aws --key-arn "<arn>" --aws-region "<region>" [global options]

选项

--key-arn

必需。--key-arn 选项从 AMS KMS 管理页面的“常规配置”中的 ARN 中直接复制字符串。

--aws-region

必需。按 Amazon API 网关表(Link opens in a new window)的“区域”列中所示的方式指定区域。

示例

举例来说,如果 AWS KMS 实例正在 us-west-2 区域中运行,您的帐号为 867530990073,CMK 密钥为 1abc23de-fg45-6hij-7k89-1l0mn1234567,则命令将如下所示:

tsm security kms set-mode aws --aws-region "us-west-2" --key-arn "arn:aws:kms:us-west-2:867530990073:key/1abc23de-fg45-6hij-7k89-1l0mn1234567"

tsm security kms set-mode local

将 KMS 模式设置为本地。本地是默认 KMS 模式。有关详细信息,请参见密钥管理系统

概要

tsm security kms set-mode local [global options]

tsm security kms status

查看 KMS 配置的状态。

返回以下各项:

  • 客户主密钥 (CMK) 的 ARN (ID)。
  • CMK 所在的区域。
  • 正在使用的根主密钥 (RMK) 的 ID。RMK 是通过 CMK 加密的密钥。Tableau Server 通过调用 AWS KMS 对 CMK 进行解密。RMK 随后用于对主数据提取密钥 (MEK) 进行加密/解密。RMK 可以更改,但一次只能有一个。
  • KMS 存储主数据提取密钥 (MEK) 的集合。每个 MEK 具有:
    • 一个 ID,例如 8ddd70df-be67-4dbf-9c35-1f0aa2421521
    • “加密或解密密钥”或“仅解密密钥”状态。如果密钥为“加密或解密”,Tableau Server 将使用它对新数据进行加密。否则,密钥将仅用于解密。
    • 创建时间戳,例如“创建时间: 2019-05-29T23:46:54Z。”
    • 首次过渡到加密和解密:指示密钥何时成为加密或解密密钥的时间戳。
    • 过渡到仅解密:指示密钥何时过渡到仅解密的时间戳。

概要

tsm security kms status [global options]

tsm security maestro-rserve-ssl disable

禁用 Rserve 连接。

有关详细信息,请参见在您的流程中使用 R (Rserve) 脚本

tsm security maestro-rserve-ssl enable

配置 Rserve 服务器和 Tableau Server 版本 2019.3 或更高版本的连接。

有关详细信息,请参见在您的流程中使用 R (Rserve) 脚本

概要

tsm security maestro-rserve-ssl enable --connection-type <maestro-rserve-secure | maestro-rserve> --rserve-host <Rserve IP address or host name> --rserve-port <Rserve port> --rserve-username <Rserve username> --rserve-password <Rserve password> --rserve-connect-timeout-ms <RServe connect timeout>

选项

--connection-type

选择 maestro-rserve-secure 以启用安全连接,或选择 maestro-rserve 以启用不安全的连接。如果选择 maestro-rserve-secure,请在命令行中指定证书文件路径。

--rserve-host

主机

--rserve-port

端口

--rserve-username

用户名

--rserve-password

密码

--rserve-connect-timeout-ms

连接超时(以毫秒为单位)。例如 --rserve-connect-timeout-ms 900000

tsm security maestro-tabpy-ssl disable

禁用 TabPy 连接。

有关详细信息,请参见在您的流程中使用 Python 脚本

tsm security maestro-tabpy-ssl enable

配置 TabPy 服务器和 Tableau Server 版本 2019.3 或更高版本的连接。

有关详细信息,请参见在您的流程中使用 Python 脚本

概要

tsm security maestro-tabpy-ssl enable --connection-type <maestro-tabpy-secure | maestro-tabpy> --tabpy-host <TabPy IP address or host name> --tabpy-port <TabPy port> --tabpy-username <TabPy username> --tabpy-password <TabPy password> --tabpy-connect-timeout-ms <TabPy connect timeout>

选项

--connection-type

选择 maestro-tabpy-secure 以启用安全连接,或选择 maestro-tabpy 以启用不安全的连接。如果选择 maestro-tabpy-secure,请在命令行中指定证书文件 -cf<证书文件路径> 。

--tabpy-host

主机

--tabpy-port

端口

--tabpy-username

用户名

--tabpy-password

密码

--tabpy-connect-timeout-ms

连接超时(以毫秒为单位)。例如 --tabpy-connect-timeout-ms 900000

tsm security regenerate-internal-tokens

此命令执行以下操作:

  1. 如果 Tableau Server 正在运行,请将其停止。

  2. 为搜索服务器的 Postgres 存储库生成新的内部 SSL 证书。

  3. 为所有内部管理的密码生成新密码。

  4. 更新所有 Postgres 存储库密码。

  5. 为资产密钥管理生成新的加密密钥,并使用新密钥对资产密钥进行加密。

  6. 为配置密文(主密钥)生成新的加密密钥,并使用该密钥对配置进行加密。

  7. 使用所有这些密文重新配置和更新 Tableau Server。在分布式部署中,此命令还会分发重新配置内容,并跨群集中的所有节点进行更新。

  8. 重新生成新的主密钥,将其添加到主密钥存储文件,然后创建新的安全令牌供内部使用。

  9. 启动 Tableau Server。

如果打算在运行此命令后向群集中添加节点,您将需要生成新的节点配置文件,以便更新此命令生成的令牌、密钥和密文。请参见安装和配置附加节点

有关内部密码的详细信息,请参见管理服务器密文

概要

tsm security regenerate-internal-tokens [options] [global options]

选项

--request-timeout <timeout in seconds>

可选。

等待指定的时间以完成命令。默认值为 1800(30 分钟)。

tsm security repository-ssl disable

停止加密存储库与其他服务器组件之间的流量,并停止支持 Tableau 客户端的直接连接。

概要

tsm security repository-ssl disable [global-options]

tsm security repository-ssl enable

启用 SSL 并生成用于 Postgres 存储库与其他服务器组件之间的加密流量的服务器 .crt 和 .key 文件。如果启用此项,则还会为你提供通过从 Tableau 客户端到服务器的直接连接来启用 SSL 的选项。

概要

tsm security repository-ssl enable [options] [global options]

选项

-i, --internal-only

可选。如果设置为 --internal-only,则 Tableau Server 在存储库与其他服务器组件之间使用 SSL,它支持但不需要 SSL,即可通过 tableaureadonly 用户进行直接连接。

如果未设置此选项,则对于存储库与其他服务器组件之间的流量,以及 Tableau 客户端的直接连接(通过 tableaureadonly 用户进行的连接),Tableau Server 需要使用 SSL。

指定此选项时,还必须完成配置 Postgres SSL 以允许从客户端直接连接中所描述的步骤。

tsm security repository-ssl get-certificate-file

获取用于与 Tableau 存储库进行 SSL 通信的公共证书文件。必须为存储库通信启用 SSL,然后才能检索证书。证书文件将自动分发给 Tableau Server 群集中的内部存储库客户端。为了使远程客户端能够通过 SSL 连接到存储库,您必须将公共证书文件复制到每个客户端。

概要

tsm security repository-ssl get-certificate-file [global-options]

选项

-f, --file

必需。

应在其中保存证书文件的完整路径和文件名(扩展名为 .cert)。如果存在重复文件,则将覆盖文件。

tsm security repository-ssl list

返回现有存储库 (Postgres) SSL 配置。

概要

tsm security repository-ssl list [global-options]

全局选项

-h, --help

可选。

显示命令帮助。

-p, --password <password>

在会话不是活动状态的情况下为必需,-u--username 也为必需。

为在 -u--username 中指定的用户指定密码。

如果密码包括空格或特殊字符,请将其括在引号中:

--password "my password"

-s, --server https://<hostname>:8850

可选。

对 Tableau 服务管理器使用指定的地址。URL 必须以 https 开头,包括端口 8850,并使用服务器名称(而不是 IP 地址)。例如 https://<tsm_hostname>:8850。如果没有指定服务器,则假定为 https://<localhost | dnsname>:8850

--trust-admin-controller-cert

可选。

使用此标志来信任 TSM 控制器上的自签名证书。有关证书信任和 CLI 连接的详细信息,请参见 连接 TSM 客户端

-u, --username <user>

在会话不是活动状态的情况下为必需,-p--password 也为必需。

指定用户帐户。如果未包括此选项,则使用您登录所使用的凭据运行该命令。

感谢您的反馈! 提交反馈时出错。请重试,或向我们发送消息