設定到 LDAP 外部身分存放區的加密通道

設定為連線到外部 LDAP 身分存放區的 Tableau Server 必須查詢 LDAP 目錄,並建立工作階段。建立工作階段的流程稱為繫結。有多種繫結方式。Tableau Server 支援兩種繫結到 LDAP 目錄的方法:

  • 簡單繫結:透過使用使用者名稱和密碼進行驗證來建立工作階段。預設情況下,使用簡單繫結的 LDAP 未加密。若使用簡單繫結設定 LDAP,我們強烈建議您透過 SSL/TLS 啟用 LDAP。

  • GSSAPIbind:GSSAPI 使用 Kerberos 進行驗證。已設定 keytab 檔案時,驗證在 GSSAPI 繫結期間是安全的。但是,到 LDAP 伺服器的後續流量未加密。我們建議透過 SSL/TLS 設定 LDAP。

    若在已聯結到 Active Directory 網域的電腦上執行 Windows 版 Tableau Server,則無需設定 GSAPI。Tableau Server GUI 安裝程式會使用 Kerberos 為您偵測和設定 Active Directory 連線。請參閱設定初始節點設定。切勿對 Active Directory 通訊執行使用簡單繫結的 LDAP。

本主題會介紹如何對 Tableau Server 和 LDAP 目錄伺服器之間的通訊加密簡單 LDAP 繫結的通道。

憑證要求

  • 必須具有可用於加密的有效 PEM 編碼 x509 SSL/TLS 憑證。憑證檔案的副檔名必須為 .crt。

  • 不支援自我簽署憑證。

  • 安裝的憑證必須在用於 SSL/TLS 的金鑰使用欄位中包括 Key Encipherment。Tableau Server 會僅使用此憑證加密到 LDAP 伺服器的通道,但不會驗證到期、信任、CRL 和其他屬性。

  • 若在分散式部署中執行 Tableau Server,則必須將 SSL 憑證手動複製到叢集中的每個節點。僅將憑證複製到已設定 Tableau Server 應用程式伺服器程序所在的節點即可。與叢集環境中其他共用檔案不同的是,Client File Service 不會自動散佈用於 LDAP 的 SSL 憑證。

  • 若使用的是 PKI 或非協力廠商憑證,請將 CA 根憑證上傳到 Java 信任存放區。

將憑證匯入 Tableau Keystore

若電腦上還沒有針對 LDAP 伺服器設定的憑證,則必須取得適用於 LDAP 伺服器的 SSL 憑證,並將其匯入 Tableau 系統 Keystore。

使用 [keytool] Java 工具來匯入憑證。預設安裝中,此工具會隨 Tableau Server 一起安裝,安裝位置為 C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe

以管理員身分執行以下命令,以匯入憑證(請針對您的環境替換 <variables>):

"C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe" -importcert -file "C:\Program Files\Tableau\Tableau Server\<LDAP-certificate-file>.crt" -alias "<ldapserver.name>" -keystore "C:\ProgramData\Tableau\Tableau Server\tableauservicesmanagerca.jks" -storepass changeit -noprompt

Java Keystore 的密碼為 changeit。(請勿變更 Java Keystore 的密碼)。

LDAPS 加密方法

Tableau Server 支援 LDAPS 為簡單繫結加密 LDAP 通道。

安全 LDAP 或 LDAPS 是需要設定的標準加密通道。具體而言,除了 Tableau Server 上需要具有 TLS 憑證之外,還必須為目標 LDAP 伺服器設定主機名稱和安全 LDAP 連接埠。

為簡單繫結設定加密通道

若組織使用的是 Active Directory 以外的 LDAP 目錄,請按照此處的步驟操作,以為 LDAP 簡單繫結設定加密通道。

本節會介紹如何設定 Tableau Server,以使用 LDAP 簡單繫結的加密通道。

何時設定

您必須在初始化 Tableau Server 之前,或將其作為設定初始節點設定中「使用 TSM CLI」索引標籤中提到的設定初始節點的一部分之前,將 Tableau Server 設定為使用 LDAP 簡單繫結的加密通道。

Tableau Server 的全新安裝

若組織使用的是 Active Directory 以外的 LDAP 目錄,則無法使用 TSM GUI 安裝程式在 Tableau Server 安裝中設定身分存放區。相反,必須使用 JSON 實體檔案來設定 LDAP 身分存放區。請參閱identityStore 實體

在設定 identityStore 實體之前,請按照本主題前面所述,將有效的 SSL/TLS 憑證匯入到 Tableau Keystore 中。

設定 LDAPS 需要在 identityStore JSON 檔案中設定主機名稱和 sslPort 選項。

感謝您的意見反應!已成功提交您的意見回饋。謝謝!