相互 SSL 驗證疑難排解
本主題描述可能的相互(雙向)SSL 驗證問題及其原因、使用者可能會看到的訊息,以及該問題可能的緩解方法。
有關相互 SSL 驗證和 LDAP、UPN 和 CN 使用者對應的詳情,請參閱以下主題:
找不到有效的用戶端憑證。請與 Tableau Server 管理員聯絡。
用戶端缺少憑證。
如果用戶端沒有用戶端憑證,則該使用者會在驗證期間看到此訊息:
We couldn't find a valid client certificate. Contact your Tableau Server administrator.
若要解決此問題,使用者應該與系統管理員聯絡,以組建用戶端電腦憑證。
使用者名或密碼無效
用戶端不支援相互 SSL 驗證。
早於版本 9.1 的 Tableau Desktop 版本不支援相互 SSL 驗證。如果使用較早的 Tableau Desktop 版本連線到設定為使用相互 SSL 驗證的 Tableau Server,則可能會出現以下情況:
如果 Tableau Server 設定為使用後備驗證,則用戶端會顯示一個登入對話方塊,使用者可以輸入使用者名和密碼。
如果伺服器未設定為使用後備驗證,則使用者會看到以下訊息並且無法連線到伺服器:
Invalid user name or password
有關後備驗證的詳情,請參閱設定相互 SSL 驗證。
在用戶端憑證中找不到您的使用者名。請與 Tableau Server 管理員聯絡,或使用您的 Tableau Server 帳戶登入。
用戶端憑證未發佈到 Active Directory。
如果 Tableau Server 設定為使用 Active Directory 進行驗證,並且使用者對應設定為 LDAP,則 Tableau Server 會將用戶端憑證傳送給 Active Directory 進行驗證。但是,如果用戶端憑證未發佈到 Active Directory,則驗證將會失敗,並且使用者會看到以下訊息:
We couldn't find your user name in the client certificate. Contact your Tableau Server administrator or sign in using your Tableau Server account.
若要解決此問題,系統管理員必須確保用戶端憑證已發佈到 Active Directory。或者,伺服器應設定為使用不同的使用者對應(UPN 或 CN),並且系統管理員應確保用戶端憑證包含 UPN 或 CN 欄位中的使用者名。
使用者意外地看到一個顯示錯誤訊息的登入對話方塊
如果 Tableau Server 設定為使用相互 SSL 驗證,且憑證可在使用者的電腦上使用,則使用者應該看不到登入對話方塊,因為 Tableau Server 使用該憑證對使用者進行驗證。但是,如果伺服器不能識別該憑證中的使用者名,則使用者將看到一個登入對話方塊,其中包含一條指明為何未使用憑證的錯誤訊息。如果滿足以下所有條件,則可能會發生這種情況:
啟用了後備驗證。
如果伺服器使用 UPN 或 CN 對應,則無法識別憑證的 UPN 或 CN 欄位中的使用者名。如果伺服器使用的是 LDAP 對應,則不會將憑證對應到 Active Directory 中的使用者。
若要解決此問題,系統管理員應執行以下操作,具體取決於在 Tableau Server 上設定使用者對應的方式:
LDAP 對應:確保憑證已連結至使用者、憑證可在使用者的電腦上使用,並且使用者已設定為 Tableau Server 使用者。
UPN 或 CN 對應:確保憑證可在使用者的電腦上使用、使用者名在憑證的 UPN 或 CN 欄位中,並且使用者名與 Tableau Server 上的使用者名(包括域)相符。
在用戶端憑證中找不到您的使用者名。與 Tableau Server 管理員聯絡
憑證未包含有效的 Tableau Server 使用者名。
UPN 或 CN 欄位中的使用者名缺失或無效
如果 Tableau Server 設定為使用 UPN 或 CN 對應,則伺服器會從憑證的 UPN 或 CN 欄位中讀取使用者名,然後在 Active Directory 中或在 Tableau Server 上的本機存放庫中尋找該使用者名。(伺服器讀取的特定欄位取決於伺服器被設定為是使用 UPN 對應還是使用 CN 對應。)如果應該包含使用者名的欄位中沒有任何內容,則使用者會看到以下訊息:
We couldn't find your user name in the client certificate. Contact your Tableau Server administrator.
如果用戶端憑證包含使用者名,但是 Active Directory 和 Tableau Server 無法識別該使用者名,則使用者將看到以下訊息:
Certificate does not contain a valid Tableau Server user name.
如果滿足以下所有條件,則可能會發生這種情況:
Tableau Server 設定為使用 UPN 或 CN 對應。
未啟用後備驗證。
用戶端憑證 UPN 或 CN 欄位中沒有使用者名,或者 UPN 或 CN 欄位中的使用者名與 Active Directory 中或 Tableau Server 上的使用者名不相符。
若要解決此問題,系統管理員應該確保使用者的憑證 UPN 或 CN 欄位中具有正確的使用者名。
使用者使用意外的使用者名(LDAP 對應)登入
如果伺服器設定為使用 Active Directory 驗證和 LDAP 對應,則此憑證會連結至 Active Directory 中的使用者。如果此憑證的 UPN 或 CN 欄位中包含使用者名,則會忽略該使用者名。
如果打算使用 UPN 或 CN 欄位中的使用者名讓使用者登入,則伺服器應設定為使用 UPN 或 CN 對應。
使用者以錯誤的使用者身分(UPN 或 CN 對應)登入
在某些情況下,用戶端憑證的 UPN 或 CN 欄位中的使用者名可能不明確。因此,使用者會用不正確的識別登入。
有關此問題發生的條件的詳情,請參閱在相互驗證過程中將用戶端憑證對應到使用者中的 [解決多域組織中的使用者名不明確問題] 部分。