将加密通道配置为 LDAP 外部身份存储

配置为连接到外部 LDAP 身份存储的 Tableau Server 必须查询 LDAP 目录并建立会话。建立会话的过程称为绑定。有多种绑定方式。Tableau Server 支持两种绑定到 LDAP 目录的方法:

  • 简单绑定:通过使用用户名和密码进行身份验证来建立会话。默认情况下,使用简单绑定的 LDAP 未加密。如果使用简单绑定来配置 LDAP,我们强烈建议您启用 LDAP over SSL/TLS。

  • GSSAPI 绑定:GSSAPI 使用 Kerberos 进行身份验证。当使用密钥表文件配置时,在 GSSAPI 绑定期间身份验证是安全的。但是,不会对进入 LDAP 服务器的后续流量进行加密。我们建议配置 LDAP over SSL/TLS。

    如果在已加入 Active Directory 域的计算机上运行 Windows 版 Tableau Server,则您无需配置 GSAPI。Tableau Server GUI 设置将检测和配置使用 Kerberos 的 Active Directory 连接。请参见配置初始节点设置。对于 Active Directory 通信,请不要使用简单绑定运行 LDAP。

本主题介绍了如何为 Tableau Server 和 LDAP 目录服务器之间的通信加密简单的 LDAP 绑定通道。

证书要求

  • 您必须具有可用于加密的有效 PEM 编码 x509 SSL/TLS 证书。证书文件的扩展名必须为 .crt。

  • 不支持自签名证书。

  • 您安装的证书必须在用于 SSL/TLS 的密钥用法字段中包括 Key Encipherment。Tableau Server 将仅使用此证书来加密到 LDAP 服务器的通道。不会验证过期、信任、CRL 和其他属性。

  • 如果在分布式部署中运行 Tableau Server,则必须将 SSL 证书手动复制到群集中的每个节点。仅将证书复制到配置了 Tableau Server 应用程序服务器进程的那些节点。与群集环境中的其他共享文件不同,客户端文件服务不会自动分发用于 LDAP 的 SSL 证书。

  • 如果您使用的是 PKI 或非第 3 方证书,请将 CA 根证书上载到 Java 信任存储。

将证书导入 Tableau 密钥存储

如果您的计算机上还没有针对 LDAP 服务器配置的证书,则您必须获取适用于 LDAP 服务器的 SSL 证书,并将其导入默认系统密钥存储。

使用“keytool”Java 工具来导入证书。在默认安装中,此工具随 Tableau Server 一起安装,位于 C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe

以管理员身份运行以下命令以导入证书(您必须针对您的环境替换 <variables>):

"C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe" -importcert -file "C:\Program Files\Tableau\Tableau Server\<LDAP-certificate-file>.crt" -alias "<ldapserver.name>" -keystore "C:\ProgramData\Tableau\Tableau Server\tableauservicesmanagerca.jks" -storepass changeit -noprompt

Java 密钥存储的密码为 changeit。(不要更改 Java 密钥存储的密码)。

LDAPS 加密方法

Tableau Server 支持使用 LDAPS 对简单绑定 LDAP 通道进行加密。

安全 LDAP(或 LDAPS)是需要配置的标准加密通道。具体而言,除了 Tableau Server 上的 TLS 证书外,还必须为目标 LDAP 服务器设置主机名和安全 LDAP 端口。

为简单绑定配置加密通道

如果您的组织使用 Active Directory 以外的 LDAP 目录,请按照此处的过程为 LDAP 简单绑定配置加密通道。

本节介绍如何将 Tableau Server 配置为对 LDAP 简单绑定使用加密通道。

何时配置

您必须将 Tableau Server 配置为在 Tableau Server 初始化之前或作为配置初始节点的一部分使用 LDAP 简单绑定的加密通道,如配置初始节点设置中的“使用 TSM CLI”选项卡中所述。

对于 Tableau Server 的新安装

如果您的组织使用 Active Directory 以外的 LDAP 目录,则无法使用 TSM GUI 安装程序将身份存储配置为 Tableau Server 安装的一部分。相反,您必须使用 JSON 实体文件来配置 LDAP 身份存储。请参见identityStore 实体

在配置 identityStore 实体之前,请将有效的 SSL/TLS 证书导入 Tableau 密钥存储,如本主题前面所述。

配置 LDAPS 需要在 identityStore JSON 文件中设置 hostname 和 sslPort 选项。

感谢您的反馈!您的反馈已成功提交。谢谢!