相互 SSL 驗證疑難排解
本主題描述可能的相互(雙向)SSL 驗證問題及其原因、使用者可能會看到的訊息,以及該問題可能的緩解方法。
有關相互 SSL 驗證和 LDAP、UPN 和 CN 使用者對應的詳情,請參閱以下主題:
用戶端缺少憑證。
如果用戶端沒有用戶端憑證,則該使用者會在驗證期間看到此訊息:
We couldn't find a valid client certificate. Contact your Tableau Server administrator.
若要解決此問題,使用者應該與系統管理員聯絡,以組建用戶端電腦憑證。
用戶端不支援相互 SSL 驗證。
早於版本 9.1 的 Tableau Desktop 版本不支援相互 SSL 驗證。如果使用較早的 Tableau Desktop 版本連線到設定為使用相互 SSL 驗證的 Tableau Server,則可能會出現以下情況:
如果 Tableau Server 設定為使用後備驗證,則用戶端會顯示一個登入對話方塊,使用者可以輸入使用者名和密碼。
如果伺服器未設定為使用後備驗證,則使用者會看到以下訊息並且無法連線到伺服器:
Invalid user name or password
有關後備驗證的詳情,請參閱設定相互 SSL 驗證。
用戶端憑證未發佈到 Active Directory。
如果 Tableau Server 設定為使用 Active Directory 進行驗證,並且使用者對應設定為 LDAP,則 Tableau Server 會將用戶端憑證傳送給 Active Directory 進行驗證。但是,如果用戶端憑證未發佈到 Active Directory,則驗證將會失敗,並且使用者會看到以下訊息:
We couldn't find your user name in the client certificate. Contact your Tableau Server administrator or sign in using your Tableau Server account.
若要解決此問題,系統管理員必須確保用戶端憑證已發佈到 Active Directory。或者,伺服器應設定為使用不同的使用者對應(UPN 或 CN),並且系統管理員應確保用戶端憑證包含 UPN 或 CN 欄位中的使用者名。
如果 Tableau Server 設定為使用相互 SSL 驗證,且憑證可在使用者的電腦上使用,則使用者應該看不到登入對話方塊,因為 Tableau Server 使用該憑證對使用者進行驗證。但是,如果伺服器不能識別該憑證中的使用者名,則使用者將看到一個登入對話方塊,其中包含一條指明為何未使用憑證的錯誤訊息。如果滿足以下所有條件,則可能會發生這種情況:
啟用了後備驗證。
如果伺服器使用 UPN 或 CN 對應,則無法識別憑證的 UPN 或 CN 欄位中的使用者名。如果伺服器使用的是 LDAP 對應,則不會將憑證對應到 Active Directory 中的使用者。
若要解決此問題,系統管理員應執行以下操作,具體取決於在 Tableau Server 上設定使用者對應的方式:
LDAP 對應:確保憑證已連結至使用者、憑證可在使用者的電腦上使用,並且使用者已設定為 Tableau Server 使用者。
UPN 或 CN 對應:確保憑證可在使用者的電腦上使用、使用者名在憑證的 UPN 或 CN 欄位中,並且使用者名與 Tableau Server 上的使用者名(包括域)相符。
UPN 或 CN 欄位中的使用者名缺失或無效
如果 Tableau Server 設定為使用 UPN 或 CN 對應,則伺服器會從憑證的 UPN 或 CN 欄位中讀取使用者名,然後在 Active Directory 中或在 Tableau Server 上的本機存放庫中尋找該使用者名。(伺服器讀取的特定欄位取決於伺服器被設定為是使用 UPN 對應還是使用 CN 對應。)如果應該包含使用者名的欄位中沒有任何內容,則使用者會看到以下訊息:
We couldn't find your user name in the client certificate. Contact your Tableau Server administrator.
如果用戶端憑證包含使用者名,但是 Active Directory 和 Tableau Server 無法識別該使用者名,則使用者將看到以下訊息:
Certificate does not contain a valid Tableau Server user name.
如果滿足以下所有條件,則可能會發生這種情況:
Tableau Server 設定為使用 UPN 或 CN 對應。
未啟用後備驗證。
用戶端憑證 UPN 或 CN 欄位中沒有使用者名,或者 UPN 或 CN 欄位中的使用者名與 Active Directory 中或 Tableau Server 上的使用者名不相符。
若要解決此問題,系統管理員應該確保使用者的憑證 UPN 或 CN 欄位中具有正確的使用者名。
如果伺服器設定為使用 Active Directory 驗證和 LDAP 對應,則此憑證會連結至 Active Directory 中的使用者。如果此憑證的 UPN 或 CN 欄位中包含使用者名,則會忽略該使用者名。
如果打算使用 UPN 或 CN 欄位中的使用者名讓使用者登入,則伺服器應設定為使用 UPN 或 CN 對應。
在某些情況下,用戶端憑證的 UPN 或 CN 欄位中的使用者名可能不明確。因此,使用者會用不正確的識別登入。
有關此問題發生的條件的詳情,請參閱在相互驗證過程中將用戶端憑證對應到使用者中的 [解決多域組織中的使用者名不明確問題] 部分。