tsm security

使用 tsm security 命令配置 Tableau Server 对外部(网关)SSL 或存储库 (Postgres) SSL 的支持。 存储库 SSL 配置包括通过从 Tableau 客户端(包括 Tableau Desktop、Tableau Mobile 和 Web 浏览器)到存储库的直接连接来启用 SSL 的选项。

先决条件

在配置 SSL 之前,您必须获取证书,然后将其复制到运行 Tableau Server 网关进程的计算机。需要进行额外的准备才能启用客户端直接连接。若要了解详情,请参阅以下文章:

针对与来往 Tableau Server 的外部 HTTP 流量配置 SSL

针对内部 Postgres 通信配置 SSL

 有关相互(双向)SSL 的信息,请参见配置相互 SSL 身份验证tsm authentication mutual-ssl 命令

tsm security authorize-credential-migration

授权 Tableau 用户使用 Content Migration Tool 将嵌入式凭据从 Tableau Server 安装迁移到 Tableau Cloud 站点。Tableau ServerTableau Cloud 都必须具有 Advanced Management 许可证才能迁移内容。有关详细信息,请参见迁移包含嵌入式凭据的工作簿和数据源

您可以使用 tsm security cancel-credential-migrations 命令取消授权。

概要

tsm security authorize-credential-migration --source-site-url-namespace <Tableau Server site ID> --destination-site-url-namespace <Tableau Cloud site ID> --destination-server-url <Tableau Cloud site url> --authorized-migration-runner <username> --destination-public-encryption-key <public key>

选项

--source-site-url-namespace

必需。Tableau Server 站点的站点 ID。在 URL 中使用站点 ID 以唯一地标识站点。

例如,名为 West Coast Sales 的站点的 ID 可能为 west-coast-sales。

--destination-site-url-namespace

必需。Tableau Cloud 站点的站点 ID。在 URL 中使用站点 ID 以唯一地标识站点。

--destination-server-url

必需。Tableau Cloud 站点部署到的 Pod 的 URL。您指定的 URL 必须包含尾部斜杠 (/)。

登录到 Tableau Cloud 后,您的 pod 将显示在站点 URL 的第一部分。例如,https://10az.online.tableau.com/ 是“United States - West (10AZ)”pod。有关 pod 的详细信息,请参见 Salesforce 信任(链接在新窗口中打开)页面。

--authorized-migration-runner

必需。有权迁移嵌入式凭据的 Tableau Server 用户的用户名。

--destination-public-encryption-key

必需。指定在 Tableau Cloud 站点上生成的公钥。

--expiration-time-in-days

可选。授权过期之前的天数。默认值为 7 天。

示例

以下示例授权用户“admin”将包含嵌入式凭据的工作簿和已发布数据源从 Tableau Server 站点“ExampleA”迁移到 Tableau Cloud 站点“ExampleB”。授权将在 9 天后到期。

tsm security authorize-credential-migration --source-site-url-namespace ExampleA --destination-site-url-namespace ExampleB --destinationServerUrl https://10ay.online.tableau.com/ --authorized-migration-runner admin --destination-public-encryption-key <public key> --expiration-time-in-days 9

tsm security cancel-credential-migrations

取消使用 Content Migration Tool 迁移嵌入式凭据的授权。有关详细信息,请参见“迁移带有嵌入式凭据的工作簿和数据源”。

概要

tsm security cancel-credential-migrations --source-site-url-namespace <Tableau Server site ID>

选项

--source-site-url-namespace

必需。Tableau Server 站点的站点 ID。在 URL 中使用站点 ID 以唯一地标识站点。

例如,名为 West Coast Sales 的站点的 ID 可能为 west-coast-sales。

tsm security custom-cert add

将自定义 CA 证书添加到 Tableau Server。此证书可根据需要用于为 SMTP 服务器和 Tableau Server 之间的 TLS 通信建立信任。

如果自定义证书已存在,此命令将失败。您可以使用 tsm security custom-cert delete 命令移除现有自定义证书。

注意:使用此命令添加的证书可能由其他 Tableau Server 服务用于 TLS 连接。

作为灾难恢复计划的一部分,我们建议将证书文件的备份保留在 Tableau Server 外的安全位置。添加到 Tableau Server 的证书文件将由客户端文件服务存储并分发到其他节点。但是,该文件不会以可恢复格式存储。请参见Tableau Server 客户端文件服务

概要

tsm security custom-cert add --cert-file <file.crt> [global options]

选项

-c, --cert-file <file.crt>

必需。以有效 PEM 或 DER 格式指定证书文件的名称。

tsm security custom-cert delete

移除服务器的现有自定义证书。这样,您就可以添加新的自定义证书。

概要

tsm security custom-cert delete[global options]

tsm security custom-cert list

列出自定义证书的详细信息。

概要

tsm security custom-cert list[global options]

tsm security custom-indexandsearch-ssl add

为 Tableau Server 2023.1 及更高版本的索引和搜索服务器添加自定义证书。SSL 实施基于 Opensearch.org TLS 实施。请参见配置 TLS 证书(链接在新窗口中打开)了解详细信息。

--admin <file.crt>
必需。
管理员证书文件。指定有效的 PEM 编码 x509 证书的路径,其扩展名为 .crt。
--admin-key <file.key>
必需。
指定有效的 RSA 或 DSA 私钥文件 (PKXA #8),按照约定具有 .key 扩展名。
-- ca <file.crt>
必需。
受信任的 CA 文件。指定有效的 PEM 编码 x509 证书的路径,其扩展名为 .crt。
--node <file.crt>
必需。
节点证书文件。指定有效的 PEM 编码 x509 证书的路径,其扩展名为 .crt。此命令会将此证书分发到群集中的每个节点。使用通配符证书允许在单个证书中包含完整的节点专有名称 (DN) 数组。
-- node-key <file.key>
必需。
指定有效的 RSA 或 DSA 私钥文件 (PKXA #8),按照约定具有 .key 扩展名。

概要

tsm security custom-indexandsearch-ssl add --node <file.crt> --admin <file.crt> --node-key <file.key> --admin-key <file.key> --ca <file.crt> [parameters] [global options]

tsm security custom-indexandsearch-ssl list

列出索引和搜索服务器 SSL 自定义证书配置的详细信息。

概要

tsm security custom-indexandsearch-ssl list[global options]

tsm security custom-tsm-ssl disable

禁用用于连接到 TSM 控制器的自定义 SSL 证书。恢复为自动管理的自签名证书。

概要

tsm security custom-tsm-ssl disable [global options]

tsm security custom-tsm-ssl enable

为 Tableau Server 2023.1 及更高版本的 TSM 控制器连接启用自定义 SSL 证书。如果您已启用 SSL 并且需要更新过期的证书,请使用此命令。

-cf,--cert-file <file.crt>
必需。
指定有效的 PEM 编码 x509 证书的路径,其扩展名为 .crt。证书上的使用者名称必须与运行管理控制器的 Tableau 计算机的主机名或 IP 地址相匹配。默认情况下,管理控制器在 Tableau Server 部署的初始节点上运行。
-kf,--key-file <file.key>
必需。
指定有效的 RSA 或 DSA 私钥文件 (PKXA #8),按照约定具有 .key 扩展名。此密钥不能受密码保护。
--chain-file <file.crt>
可选。

指定证书链文件 (.crt) 的路径

链文件连接构成服务器证书的证书链的所有证书。

文件中的所有证书必须为 x509 PEM 编码,文件扩展名必须为 .crt(而不是 .pem)。

--skip-validation
可选
传递此选项以跳过证书颁发机构根验证。

概要

tsm security custom-tsm-ssl enable --key-file <file.key> --cert-file <file.crt> [global options]

tsm security custom-tsm-ssl list

列出 TSM 自定义证书配置的详细信息。

概要

tsm security custom-tsm-ssl list[global options]

tsm security external-ssl disable

删除服务器现有的 SSL 配置设置,并停止加密外部客户端与服务器之间的流量。

概要

tsm security external-ssl disable [global options]

tsm security external-ssl enable

通过外部 HTTP 通信为 SSL 启用和指定证书和密钥文件。

概要

tsm security external-ssl enable --cert-file <file.crt> --key-file <file.key> [options] [global options]

选项

--cert-file <file.crt>

必需。指定有效的 PEM 编码 x509 证书的名称,其扩展名为 .crt。

--key-file <file.key>

必需。指定有效的 RSA 或 DSA 私钥文件(按照约定具有 .key 扩展名)。

--chain-file <chainfile.crt>

指定证书链文件 (.crt)

Mac 上的 Tableau Desktop 需要证书链文件。在某些情况下,Tableau Mobile 可能需要证书链文件。

某些证书提供者会针对 Apache 颁发两个证书。第二个证书是链文件,连接构成服务器证书的证书链的所有证书。

文件中的所有证书必须为 x509 PEM 编码,文件扩展名必须为 .crt(而不是 .pem)。

--passphrase

可选。证书文件的密码。您输入的密码将在空闲时加密。

注意:如果创建包含密码的证书密钥文件,则无法为 SAML 重用 SSL 证书密钥。

--protocols <列出协议>

可选。列出想要允许或拒绝的传输层安全性 (TLS) 协议版本。

TLS 是 SSL 的改进版本。Tableau Server 使用 TLS 来进行身份验证和加密连接。接受的值包括 Apache 支持的协议版本。要拒绝协议,请在协议版本前面添加减号 (-) 字符。

默认设置:"all, -SSLv2, -SSLv3"

此默认值显式不允许客户端使用 SSL v2 或 SSL v3 协议连接到 Tableau Server。但是,我们建议您也拒绝 TLS v1 和 TLS v1.1。

在您拒绝特定版本的 TLS 之前,请确认您的用户连接到 Tableau Server 所使用的浏览器是否支持 TLS v1.2。在浏览器更新之前,您可能需要保留对 TLSv1.1 的支持。

如果您不需要支持 TLS v1 或 v1.1,请使用以下命令允许 TLS v1.2(使用值 all),并显式拒绝 SSL v2、SSL v3、TLS v1 和 TLS v1.1。

tsm security external-ssl enable --cert-file file.crt --key-file file.key --protocols "all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"

tsm security external-ssl list

显示与网关外部 SSL 配置相关的设置列表。该列表包括正在使用的证书文件的名称,但不包括其位置。

概要

tsm security external-ssl list [global options]

tsm security kms set-mode aws

将 KMS 模式设置为 AWS。

您将需要 AWS KMS 中的完整 ARN 字符串。此字符串位于 AWS KMS 管理页面的“常规配置”部分中。ARN 以此格式显示: arn:aws:kms:<region>:<account>:key/<CMK_ID>,例如,arn:aws:kms:us-west-2:867530990073:key/1abc23de-fg45-6hij-7k89-1l0mn1234567

有关详细信息,请参见AWS 密钥管理系统

概要

tsm security kms set-mode aws --key-arn "<arn>" --aws-region "<region>" [global options]

选项

--key-arn

必需。--key-arn 选项从 AMS KMS 管理页面的“常规配置”中的 ARN 中直接复制字符串。

--aws-region

必需。按 Amazon API 网关表(链接在新窗口中打开)的“区域”列中所示的方式指定区域。

示例

举例来说,如果 AWS KMS 实例正在 us-west-2 区域中运行,您的帐号为 867530990073,CMK 密钥为 1abc23de-fg45-6hij-7k89-1l0mn1234567,则命令将为:

tsm security kms set-mode aws --aws-region "us-west-2" --key-arn "arn:aws:kms:us-west-2:867530990073:key/1abc23de-fg45-6hij-7k89-1l0mn1234567"

tsm security kms set-mode azure

将 KMS 模式设置为 Azure 密钥库。

注意:运行 tsm security kms status 时,KMS 模式将显示“Azure 密钥库”,但可将其设置为“Azure”。

您将需要 Azure 密钥库的名称和 Azure 中密钥的名称。

有关详细信息,请参见Azure Key Vault

概要

tsm security kms set-mode azure --key-name "<key_name>" --vault-name "<vault_name>" [global options]

选项

--key-name

必需。存储在 Azure 密钥库中的不对称密钥的名称。

--vault-name

必需。Azure 密钥库的名称。

示例

举例来说,如果您的 Azure 密钥库名为 tabsrv-keyvault,并且您的密钥为 tabsrv-sandbox-key01,则命令将为:

tsm security kms set-mode azure --key-name "tabsrv-sandbox-key01" --vault-name "tabsrv-keyvault"

tsm security kms set-mode local

将 KMS 模式设置或重置为本地。本地是默认 KMS 模式。有关详细信息,请参见Tableau Server 密钥管理系统

概要

tsm security kms set-mode local [global options]

tsm security kms status

查看 KMS 配置的状态。返回的状态包括:

  • 状态:OK 表示,在多节点安装的情况下,则 Tableau 或控制器节点可访问 KMS。
  • 模式:本地、AWS 或 Azure 密钥库。指示正在使用哪种 KMS 模式。
  • 加密和解密主加密密钥:

    KMS 存储主数据提取密钥 (MEK) 的集合。每个 MEK 具有:

    • 一个 ID,例如 8ddd70df-be67-4dbf-9c35-1f0aa2421521
    • “加密或解密密钥”或“仅解密密钥”状态。如果密钥为“加密或解密”,Tableau Server 将使用它对新数据进行加密。否则,密钥将仅用于解密。
    • 创建时间戳,例如“创建时间: 2019-05-29T23:46:54Z。”
    • 首次过渡到加密和解密:指示密钥何时成为加密或解密密钥的时间戳。
    • 过渡到仅解密:指示密钥何时过渡到仅解密的时间戳。

返回的其他值取决于 KMS 模式。

当 KMS 模式为 AWS 时,将返回以下各项:

  • 客户主密钥 (CMK) 的 ARN (ID)。
  • CMK 所在的区域。
  • 正在使用的根主密钥 (RMK) 的 ID。RMK 是通过 CMK 加密的密钥。Tableau Server 通过调用 AWS KMS 对 CMK 进行解密。RMK 随后用于对主数据提取密钥 (MEK) 进行加密/解密。RMK 可以更改,但一次只能有一个。

当 KMS 模式为 Azure 密钥库时,将返回以下各项:

  • 名称:Azure 密钥库的名称。
  • Azure 密钥库密钥名称:库中密钥的名称。

概要

tsm security kms status [global options]

tsm security maestro-rserve-ssl disable

禁用 Rserve 连接。

有关详细信息,请参见在您的流程中使用 R (Rserve) 脚本

tsm security maestro-rserve-ssl enable

配置 Rserve 服务器和 Tableau Server 版本 2019.3 或更高版本的连接。

有关详细信息,请参见在您的流程中使用 R (Rserve) 脚本

概要

tsm security maestro-rserve-ssl enable --connection-type <maestro-rserve-secure | maestro-rserve> --rserve-host <Rserve IP address or host name> --rserve-port <Rserve port> --rserve-username <Rserve username> --rserve-password <Rserve password> --rserve-connect-timeout-ms <RServe connect timeout>

选项

--connection-type

选择 maestro-rserve-secure 以启用安全连接,或选择 maestro-rserve 以启用不安全的连接。如果选择 maestro-rserve-secure,请在命令行中指定证书文件路径。

--rserve-host

主机

--rserve-port

端口

--rserve-username

用户名

--rserve-password

密码

--rserve-connect-timeout-ms

连接超时(以毫秒为单位)。例如,--rserve-connect-timeout-ms 900000

tsm security maestro-tabpy-ssl disable

禁用 TabPy 连接。

有关详细信息,请参见在您的流程中使用 Python 脚本

tsm security maestro-tabpy-ssl enable

配置 TabPy 服务器和 Tableau Server 版本 2019.3 或更高版本的连接。

有关详细信息,请参见在您的流程中使用 Python 脚本

概要

tsm security maestro-tabpy-ssl enable --connection-type <maestro-tabpy-secure | maestro-tabpy> --tabpy-host <TabPy IP address or host name> --tabpy-port <TabPy port> --tabpy-username <TabPy username> --tabpy-password <TabPy password> --tabpy-connect-timeout-ms <TabPy connect timeout>

选项

--connection-type

选择 maestro-tabpy-secure 以启用安全连接,或选择 maestro-tabpy 以启用不安全的连接。如果选择 maestro-tabpy-secure,请在命令行中指定证书文件 -cf<证书文件路径> 。

--tabpy-host

主机

--tabpy-port

端口

--tabpy-username

用户名

--tabpy-password

密码

--tabpy-connect-timeout-ms

连接超时(以毫秒为单位)。例如,--tabpy-connect-timeout-ms 900000

tsm security regenerate-internal-tokens

此命令执行以下操作:

  1. 如果 Tableau Server 正在运行,请将其停止。

  2. 为搜索服务器的 Postgres 存储库生成新的内部 SSL 证书。

  3. 为所有内部管理的密码生成新密码。

  4. 更新所有 Postgres 存储库密码。

  5. 为资产密钥管理生成新的加密密钥,并使用新密钥对资产密钥进行加密。

  6. 为配置密文(主密钥)生成新的加密密钥,并使用该密钥对配置进行加密。

  7. 使用所有这些密文重新配置和更新 Tableau Server。在分布式部署中,此命令还会分发重新配置内容,并跨群集中的所有节点进行更新。

  8. 重新生成新的主密钥,将其添加到主密钥存储文件,然后创建新的安全令牌供内部使用。

  9. 启动 Tableau Server。

如果打算在运行此命令后向群集中添加节点,您将需要生成新的节点配置文件,以便更新此命令生成的令牌、密钥和密文。请参见安装和配置附加节点

有关内部密码的详细信息,请参见管理服务器密文

概要

tsm security regenerate-internal-tokens [options] [global options]

选项

--ignore-prompt

可选。

在没有提示的情况下执行重新启动(如有必要)。此选项只会隐藏提示。重新启动行为不会改变。

--request-timeout <timeout in seconds>

可选。

等待指定的时间以完成命令。默认值为 1800(30 分钟)。

tsm security repository-ssl disable

停止加密存储库与其他服务器组件之间的流量,并停止支持 Tableau 客户端的直接连接。

概要

tsm security repository-ssl disable [global-options]

tsm security repository-ssl enable

当存储库为本地存储库时,启用 SSL 并生成用于 Postgres 存储库与其他服务器组件之间的加密流量的服务器 .crt 和 .key 文件。

从版本 2021.4 开始,当使用外部存储库时,导入服务器的 .crt 和“密钥文件”,用于对外部 PostgreSQL 存储库和 Tableau Server 组件之间的流量进行加密。

如果启用此项,则还会为你提供通过从 Tableau 客户端到服务器的直接连接来启用 SSL 的选项。

概要

tsm security repository-ssl enable [options] [global options]

选项

-i, --internal-only

可选。此选项仅适用于存储库位于 Tableau Server 本地且未在 Tableau Server 外部配置的情况。此选项不应用于配置有外部存储库的 Tableau Server。

如果设置为 --internal-only,则 Tableau Server 在存储库与其他服务器组件之间使用 SSL,它支持但不需要 SSL,即可通过 tableaureadonly 用户进行直接连接。

如果未设置此选项,则对于存储库与其他服务器组件之间的流量,以及 Tableau 客户端的直接连接(通过 tableaureadonly 用户进行的连接),Tableau Server 需要使用 SSL。

指定此选项时,还必须完成配置 Postgres SSL 以允许从客户端直接连接中所描述的步骤。

-c, --certificate

可选。版本 2021.4 中新增。此选项仅适用于配置有外部存储库的 Tableau Server,可用于在安装后启用或禁用 SSL 连接。

此选项允许您在 Tableau Server 和外部存储库之间启用 SSL/TSL 连接。使用此选项时,请提供 SSL 证书文件的完整路径,包括外部存储库的文件名。此文件与启用外部存储库时使用的文件相同。

tsm security repository-ssl get-certificate-file

获取用于与 Tableau 存储库进行 SSL 通信的公共证书文件。必须为存储库通信启用 SSL,然后才能检索证书。证书文件将自动分发给 Tableau Server 群集中的内部存储库客户端。为了使远程客户端能够通过 SSL 连接到存储库,您必须将公共证书文件复制到每个客户端。

此命令仅适用于使用本地存储库的 Tableau Server,并且在 Tableau Server 配置有外部存储库时会导致错误。

概要

tsm security repository-ssl get-certificate-file [global-options]

选项

-f, --file

必需。

应在其中保存证书文件的完整路径和文件名(扩展名为 .cert)。如果存在重复文件,则将覆盖文件。

tsm security repository-ssl list

返回现有存储库 (Postgres) SSL 配置。

概要

tsm security repository-ssl list [global-options]

tsm security rotate-coordination-service-secrets

版本:版本 2022.1 中新增

生成协调服务用于安全连接的新证书、密钥和信任存储。

概要

tsm security rotate-coordination-service-secrets [options][global options]

选项

--coord-svc-restart-timeout <秒数>

可选。

等待指定的秒数让协调服务重新启动。默认值:1200(20 分钟)。

--ignore-prompt

可选。

在没有提示的情况下执行重新启动(如有必要)。

--request-timeout <秒数>

可选。

等待指定的秒数让命令完成。默认值:1800 秒(30 分钟)。

全局选项

-h, --help

可选。

显示命令帮助。

-p, --password <password>

在会话不是活动状态的情况下为必需,-u--username 也为必需。

为在 -u--username 中指定的用户指定密码。

如果密码包括空格或特殊字符,请将其括在引号中:

--password "my password"

-s, --server https://<hostname>:8850

可选。

对 Tableau 服务管理器使用指定的地址。URL 必须以 https 开头,包括端口 8850,并使用服务器名称(而不是 IP 地址)。例如,https://<tsm_hostname>:8850。如果没有指定服务器,则假定为 https://<localhost | dnsname>:8850

--trust-admin-controller-cert

可选。

使用此标志来信任 TSM 控制器上的自签名证书。有关证书信任和 CLI 连接的详细信息,请参见 连接 TSM 客户端

-u, --username <user>

在会话不是活动状态的情况下为必需,-p--password 也为必需。

指定用户帐户。如果未包括此选项,则使用您登录所使用的凭据运行该命令。

感谢您的反馈!您的反馈已成功提交。谢谢!