tsm security
- 版本 :2022.1 及更高版本
使用 tsm security 命令配置 Tableau Server 对外部(网关)SSL 或存储库 (Postgres) SSL 的支持。 存储库 SSL 配置包括通过从 Tableau 客户端(包括 Tableau Desktop、Tableau Mobile 和 Web 浏览器)到存储库的直接连接来启用 SSL 的选项。
使用 tsm security
命令配置 Tableau Server 对外部(网关)SSL 或存储库 (Postgres) SSL 的支持。 存储库 SSL 配置包括通过从 Tableau 客户端(包括 Tableau Desktop、Tableau Mobile 和 Web 浏览器)到存储库的直接连接来启用 SSL 的选项。
tsm security custom-cert
tsm security external-ssl
tsm security kms
tsm security maestro-rserve-ssl
tsm security maestro-tabpy-ssl
tsm security repository-ssl
从 2020.2 版本开始,若要配置 Rserve 和 TabPy 分析扩展程序,请使用 Tableau Server 管理页面。请参见配置与分析扩展程序的连接。
先决条件
在配置 SSL 之前,您必须获取证书,然后将其复制到运行 Tableau Server 网关进程的计算机。需要进行额外的准备才能启用客户端直接连接。若要了解详情,请参阅以下文章:
针对与来往 Tableau Server 的外部 HTTP 流量配置 SSL
有关相互(双向)SSL 的信息,请参见配置相互 SSL 身份验证和 tsm authentication mutual-ssl 命令。
tsm security custom-cert add
将自定义 CA 证书添加到 Tableau Server。此证书可根据需要用于为 SMTP 服务器和 Tableau Server 之间的 TLS 通信建立信任。
如果自定义证书已存在,此命令将失败。您可以使用 tsm security custom-cert delete
命令移除现有自定义证书。
注意:使用此命令添加的证书可能由其他 Tableau Server 服务用于 TLS 连接。
作为灾难恢复计划的一部分,我们建议将证书文件的备份保留在 Tableau Server 外的安全位置。添加到 Tableau Server 的证书文件将由客户端文件服务存储并分发到其他节点。但是,该文件不会以可恢复格式存储。请参见Tableau Server 客户端文件服务。
概要
tsm security custom-cert add --cert-file
选项
-c, --cert-file
必需。以有效 PEM 或 DER 格式指定证书文件的名称。
tsm security custom-cert delete
移除服务器的现有自定义证书。这样,您就可以添加新的自定义证书。
概要
tsm security custom-cert delete[global options]
tsm security custom-cert list
列出自定义证书的详细信息。
概要
tsm security custom-cert list[global options]
tsm security external-ssl disable
删除服务器现有的 SSL 配置设置,并停止加密外部客户端与服务器之间的流量。
概要
tsm security external-ssl disable [global options]
tsm security external-ssl enable
通过外部 HTTP 通信为 SSL 启用和指定证书和密钥文件。
概要
tsm security external-ssl enable --cert-file
选项
--cert-file
必需。指定有效的 PEM 编码 x509 证书的名称,其扩展名为 .crt。
--key-file
必需。指定有效的 RSA 或 DSA 私钥文件(按照约定具有 .key 扩展名)。
--chain-file
指定证书链文件 (.crt)
Mac 上的 Tableau Desktop 需要证书链文件。在某些情况下,Tableau Mobile 可能需要证书链文件。
某些证书提供者会针对 Apache 颁发两个证书。第二个证书是链文件,连接构成服务器证书的证书链的所有证书。
文件中的所有证书必须为 x509 PEM 编码,文件扩展名必须为 .crt(而不是 .pem)。
--passphrase
可选。证书文件的密码。您输入的密码将在空闲时加密。
注意:如果创建包含密码的证书密钥文件,则无法为 SAML 重用 SSL 证书密钥。
--protocols <列出协议>
可选。列出想要允许或拒绝的传输层安全性 (TLS) 协议版本。
TLS 是 SSL 的改进版本。Tableau Server 使用 TLS 来进行身份验证和加密连接。接受的值包括 Apache 支持的协议版本。要拒绝协议,请在协议版本前面添加减号 (-) 字符。
默认设置:
"all, -SSLv2, -SSLv3"
此默认值显式不允许客户端使用 SSL v2 或 SSL v3 协议连接到 Tableau Server。但是,我们建议您也拒绝 TLS v1 和 TLS v1.1。
在您拒绝特定版本的 TLS 之前,请确认您的用户连接到 Tableau Server 所使用的浏览器是否支持 TLS v1.2。在浏览器更新之前,您可能需要保留对 TLSv1.1 的支持。
如果您不需要支持 TLS v1 或 v1.1,请使用以下命令允许 TLS v1.2(使用值
all
),并显式拒绝 SSL v2、SSL v3、TLS v1 和 TLS v1.1。tsm security external-ssl enable --cert-file file.crt --key-file file.key --protocols "all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"
tsm security external-ssl list
显示与网关外部 SSL 配置相关的设置列表。该列表包括正在使用的证书文件的名称,但不包括其位置。
概要
tsm security external-ssl list [global options]
tsm security kms set-mode aws
将 KMS 模式设置为 AWS。
您将需要 AWS KMS 中的完整 ARN 字符串。此字符串位于 AWS KMS 管理页面的“常规配置”部分中。ARN 以此格式显示: arn:aws:kms:
有关详细信息,请参见AWS 密钥管理系统。
概要
tsm security kms set-mode aws --key-arn "
选项
--key-arn
必需。
--key-arn
选项从 AMS KMS 管理页面的“常规配置”中的 ARN 中直接复制字符串。--aws-region
必需。按 Amazon API 网关表的“区域”列中所示的方式指定区域。
示例
举例来说,如果 AWS KMS 实例正在 us-west-2
区域中运行,您的帐号为 867530990073
,CMK 密钥为 1abc23de-fg45-6hij-7k89-1l0mn1234567
,则命令将为:
tsm security kms set-mode aws --aws-region "us-west-2" --key-arn "arn:aws:kms:us-west-2:867530990073:key/1abc23de-fg45-6hij-7k89-1l0mn1234567"
tsm security kms set-mode azure
将 KMS 模式设置为 Azure 密钥库。
注意:运行 tsm security kms status
时,KMS 模式将显示“Azure 密钥库”,但可将其设置为“Azure”。
您将需要 Azure 密钥库的名称和 Azure 中密钥的名称。
有关详细信息,请参见Azure 密钥库。
概要
tsm security kms set-mode azure --key-name "
选项
--key-name
必需。存储在 Azure 密钥库中的不对称密钥的名称。
--vault-name
必需。Azure 密钥库的名称。
示例
举例来说,如果您的 Azure 密钥库名为 tabsrv-keyvault
,并且您的密钥为 tabsrv-sandbox-key01
,则命令将为:
tsm security kms set-mode azure --key-name "tabsrv-sandbox-key01" --vault-name "tabsrv-keyvault"
tsm security kms set-mode local
将 KMS 模式设置或重置为本地。本地是默认 KMS 模式。有关详细信息,请参见Tableau Server 密钥管理系统。
概要
tsm security kms set-mode local [global options]
tsm security kms status
查看 KMS 配置的状态。返回的状态包括:
状态:OK 表示,在多节点安装的情况下,则 Tableau 或控制器节点可访问 KMS。
模式:本地、AWS 或 Azure 密钥库。指示正在使用哪种 KMS 模式。
加密和解密主加密密钥:
KMS 存储主数据提取密钥 (MEK) 的集合。每个 MEK 具有:
一个 ID,例如 8ddd70df-be67-4dbf-9c35-1f0aa2421521
“加密或解密密钥”或“仅解密密钥”状态。如果密钥为“加密或解密”,Tableau Server 将使用它对新数据进行加密。否则,密钥将仅用于解密。
创建时间戳,例如“创建时间: 2019-05-29T23:46:54Z。”
首次过渡到加密和解密:指示密钥何时成为加密或解密密钥的时间戳。
过渡到仅解密:指示密钥何时过渡到仅解密的时间戳。
返回的其他值取决于 KMS 模式。
当 KMS 模式为 AWS 时,将返回以下各项:
客户主密钥 (CMK) 的 ARN (ID)。
CMK 所在的区域。
正在使用的根主密钥 (RMK) 的 ID。RMK 是通过 CMK 加密的密钥。Tableau Server 通过调用 AWS KMS 对 CMK 进行解密。RMK 随后用于对主数据提取密钥 (MEK) 进行加密/解密。RMK 可以更改,但一次只能有一个。
当 KMS 模式为 Azure 密钥库时,将返回以下各项:
名称:Azure 密钥库的名称。
Azure 密钥库密钥名称:库中密钥的名称。
概要
tsm security kms status [global options]
tsm security maestro-rserve-ssl disable
禁用 Rserve 连接。
有关详细信息,请参见在您的流程中使用 R (Rserve) 脚本。
tsm security maestro-rserve-ssl enable
配置 Rserve 服务器和 Tableau Server 版本 2019.3 或更高版本的连接。
有关详细信息,请参见在您的流程中使用 R (Rserve) 脚本。
概要
tsm security maestro-rserve-ssl enable --connection-type
选项
--connection-type
选择
maestro-rserve-secure
以启用安全连接,或选择maestro-rserve
以启用不安全的连接。如果选择maestro-rserve-secure
,请在命令行中指定证书文件路径。--rserve-host
主机
--rserve-port
端口
--rserve-username
用户名
--rserve-password
密码
--rserve-connect-timeout-ms
连接超时(以毫秒为单位)。例如
--rserve-connect-timeout-ms 900000
。
tsm security maestro-tabpy-ssl disable
禁用 TabPy 连接。
有关详细信息,请参见在您的流程中使用 Python 脚本。
tsm security maestro-tabpy-ssl enable
配置 TabPy 服务器和 Tableau Server 版本 2019.3 或更高版本的连接。
有关详细信息,请参见在您的流程中使用 Python 脚本。
概要
tsm security maestro-tabpy-ssl enable --connection-type
选项
--connection-type
选择
maestro-tabpy-secure
以启用安全连接,或选择maestro-tabpy
以启用不安全的连接。如果选择maestro-tabpy-secure
,请在命令行中指定证书文件 -cf<证书文件路径> 。--tabpy-host
主机
--tabpy-port
端口
--tabpy-username
用户名
--tabpy-password
密码
--tabpy-connect-timeout-ms
连接超时(以毫秒为单位)。例如
--tabpy-connect-timeout-ms 900000
。
tsm security regenerate-internal-tokens
此命令执行以下操作:
如果 Tableau Server 正在运行,请将其停止。
为搜索服务器的 Postgres 存储库生成新的内部 SSL 证书。
为所有内部管理的密码生成新密码。
更新所有 Postgres 存储库密码。
为资产密钥管理生成新的加密密钥,并使用新密钥对资产密钥进行加密。
为配置密文(主密钥)生成新的加密密钥,并使用该密钥对配置进行加密。
使用所有这些密文重新配置和更新 Tableau Server。在分布式部署中,此命令还会分发重新配置内容,并跨群集中的所有节点进行更新。
重新生成新的主密钥,将其添加到主密钥存储文件,然后创建新的安全令牌供内部使用。
启动 Tableau Server。
如果打算在运行此命令后向群集中添加节点,您将需要生成新的节点配置文件,以便更新此命令生成的令牌、密钥和密文。请参见安装和配置附加节点。
有关内部密码的详细信息,请参见管理服务器密文。
概要
tsm security regenerate-internal-tokens [options] [global options]
选项
--request-timeout
可选。
等待指定的时间以完成命令。默认值为 1800(30 分钟)。
tsm security repository-ssl disable
停止加密存储库与其他服务器组件之间的流量,并停止支持 Tableau 客户端的直接连接。
概要
tsm security repository-ssl disable [global-options]
tsm security repository-ssl enable
当存储库为本地存储库时,启用 SSL 并生成用于 Postgres 存储库与其他服务器组件之间的加密流量的服务器 .crt 和 .key 文件。
从版本 2021.4 开始,当使用外部存储库时,导入服务器的 .crt 和“密钥文件”,用于对外部 PosgreSQL 存储库和 Tableau Server 组件之间的流量进行加密。
如果启用此项,则还会为你提供通过从 Tableau 客户端到服务器的直接连接来启用 SSL 的选项。
概要
tsm security repository-ssl enable [options] [global options]
选项
-i, --internal-only
可选。此选项仅适用于存储库位于 Tableau Server 本地且未在 Tableau Server 外部配置的情况。此选项不应用于配置有外部存储库的 Tableau Server。
如果设置为
--internal-only
,则 Tableau Server 在存储库与其他服务器组件之间使用 SSL,它支持但不需要 SSL,即可通过 tableau 或 readonly 用户进行直接连接。如果未设置此选项,则对于存储库与其他服务器组件之间的流量,以及 Tableau 客户端的直接连接(通过 tableau 或 readonly 用户进行的连接),Tableau Server 需要使用 SSL。
指定此选项时,还必须完成配置 Postgres SSL 以允许从客户端直接连接中所描述的步骤。
-c, --certificate
可选。版本 2021.4 中新增。此选项仅适用于配置有外部存储库的 Tableau Server,可用于在安装后启用或禁用 SSL 连接。
此选项允许您在 Tableau Server 和外部存储库之间启用 SSL/TSL 连接。使用此选项时,请提供 SSL 证书文件的完整路径,包括外部存储库的文件名。此文件与启用外部存储库时使用的文件相同。
tsm security repository-ssl get-certificate-file
获取用于与 Tableau 存储库进行 SSL 通信的公共证书文件。必须为存储库通信启用 SSL,然后才能检索证书。证书文件将自动分发给 Tableau Server 群集中的内部存储库客户端。为了使远程客户端能够通过 SSL 连接到存储库,您必须将公共证书文件复制到每个客户端。
此命令仅适用于使用本地存储库的 Tableau Server,并且在 Tableau Server 配置有外部存储库时会导致错误。
概要
tsm security repository-ssl get-certificate-file [global-options]
选项
-f, --file
必需。
应在其中保存证书文件的完整路径和文件名(扩展名为 .cert)。如果存在重复文件,则将覆盖文件。
tsm security repository-ssl list
返回现有存储库 (Postgres) SSL 配置。
概要
tsm security repository-ssl list [global-options]
tsm security rotate-coordination-service-secrets
版本:版本 2022.1 中新增
生成协调服务用于安全连接的新证书、密钥和信任存储。
概要
tsm security rotate-coordination-service-secrets [options][global options]
选项
--coord-svc-restart-timeout <秒数>
可选。
等待指定的秒数让协调服务重新启动。默认值:1200(20 分钟)。
--ignore-prompt
可选。
在没有提示的情况下执行重新启动(如有必要)。
--request-timeout <秒数>
可选。
等待指定的秒数让命令完成。默认值:1800 秒(30 分钟)。
全局选项
-h, --help
可选。
显示命令帮助。
-p, --password
在会话不是活动状态的情况下为必需,
-u
或--username
也为必需。为在
-u
或--username
中指定的用户指定密码。如果密码包括空格或特殊字符,请将其括在引号中:
--password "my password"
-s, --server https://
可选。
对 Tableau 服务管理器使用指定的地址。URL 必须以
https
开头,包括端口 8850,并使用服务器名称(而不是 IP 地址)。例如,https://
。如果没有指定服务器,则假定为https://
。--trust-admin-controller-cert
可选。
使用此标志来信任 TSM 控制器上的自签名证书。有关证书信任和 CLI 连接的详细信息,请参见 连接 TSM 客户端。
-u, --username
在会话不是活动状态的情况下为必需,
-p
或--password
也为必需。指定用户帐户。如果未包括此选项,则使用您登录所使用的凭据运行该命令。