外部の LDAP アイデンティティ ストアへの暗号化チャネルの構成

外部の LDAP アイデンティティ ストアに接続するように構成されている Tableau Server は、LDAP ディレクトリに対してクエリを実行し、セッションを確立する必要があります。セッションを確立するプロセスはバインディングと呼ばれます。バインディングにはいくつかの方法があります。Tableau Server では、LDAP ディレクトリにバインドする 2 つの方法がサポートされています。

  • シンプル バインドは、ユーザー名とパスワードを使用した認証によってセッションを確立する方法です。既定では、シンプル バインドによる LDAP は暗号化されません。シンプル バインドによる LDAP を構成する場合、SSL/TLS 経由の LDAP を有効にすることを強くお勧めします。

  • GSSAPI バインド: GSSAPI は Kerberos を使用して認証します。キータブ ファイルを使用して構成した場合、GSSAPI バインド時の認証はセキュリティで保護されます。ただし、LDAP サーバーへの後続のトラフィックは暗号化されません。SSL/TLS 経由で LDAP を構成することをお勧めします。

    Active Directory ドメインに結合されているコンピューターの Windows 上で Tableau Server を実行している場合は、GSAPI を構成する必要はありません。Tableau Server GUI セットアップを実行すると、Kerberos を使用した Active Directory 接続の検出と構成が行われます。初期ノード設定の構成を参照してください。Active Directory 通信のシンプル バインドによる LDAP は実行しないでください。

このトピックでは、Tableau Server と LDAP ディレクトリ サーバー間の通信に使用するシンプル LDAP バインド用のチャネルを暗号化する方法について説明します。

証明書の要件

  • 暗号化に使用できる有効な PEM エンコードされた x509 SSL/TLS 証明書が必要です。証明書ファイルの拡張子は .crt である必要があります。

  • 自己署名証明書はサポートされていません。

  • インストールする証明書には、SSL/TLS に使用するキー使用フィールドに Key Encipherment が含まれている必要があります。Tableau Server では、この証明書を LDAP サーバーへのチャネルの暗号化にのみ使用します。有効期限、信頼、CRL、およびその他の属性は検証されません。

  • Tableau Server を分散展開で実行している場合は、SSL 証明書をクラスタの各ノードに手動でコピーする必要があります。Tableau Server のアプリケーション サーバー プロセスが構成されているノードだけに証明書をコピーします。クラスタ環境内の他の共有ファイルとは異なり、LDAP で使用される SSL 証明書は、クライアント ファイル サービスによって自動的に配布されることはありません。

  • PKI またはサードパーティ以外の証明書を使用している場合は、CA ルート証明書を Java 信頼ストアにアップロードします。

Tableau キーストアへの証明書のインポート

LDAP サーバー向けに構成したコンピューターに証明書をまだ配置していない場合は、LDAP サーバーで使用する SSL 証明書を入手し、それを Tableau システムのキーストアにインポートする必要があります。

Java ツールの "keytool" を使用して証明書をインポートします。既定では、このツールは C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe で Tableau Server にインストールされます。

管理者として次のコマンドを実行し、証明書をインポートします (お使いの環境に合わせて <variables> を置き換える必要があります)。

"C:\Program Files\Tableau\Tableau Server\packages\repository.<version>\jre\bin\keytool.exe" -importcert -file "C:\Program Files\Tableau\Tableau Server\<LDAP-certificate-file>.crt" -alias "<ldapserver.name>" -keystore "C:\ProgramData\Tableau\Tableau Server\tableauservicesmanagerca.jks" -storepass changeit -noprompt

Java キーストアのパスワードは changeit です。(Java キーストアのパスワードは変更しないでください)。

LDAPS 暗号化方式

Tableau Server では、シンプル バインド用の LDAP チャネルを暗号化する LDAPS がサポートされています。

セキュリティで保護された LDAP (LDAPS) は、構成を必要とする標準の暗号化チャネルです。具体的には、Tableau Server での TLS 証明書に加えて、ターゲット LDAP サーバーのホスト名とセキュリティで保護された LDAP ポートを設定する必要があります。

シンプル バインド用の暗号化チャネルの構成

組織で Active Directory 以外の LDAP ディレクトリを使用している場合は、以下の手順に従って、LDAP シンプル バインド用の暗号化チャネルを構成してください。

このセクションでは、LDAP シンプル バインド用の暗号化チャネルを使用するように Tableau Server を構成する方法について説明します。

構成するタイミング

Tableau Server は、初期ノード設定の構成の [TSM CLIの使用] タブで説明されているように、Tableau Server を初期化する前、または初期ノードの構成の一部として、LDAP シンプル バインド用の暗号化チャネルを使用するように構成する必要があります。

Tableau Server の新規インストールの場合

組織で Active Directory 以外の LDAP ディレクトリを使用している場合、Tableau Server インストールの一部として TSM GUI セットアップを使用して アイデンティティ ストアを構成することはできません。代わりに、JSON エンティティ ファイルを使用して LDAP アイデンティティ ストアを構成する必要があります。identityStore エンティティを参照してください。

identityStore エンティティを構成する前に、このトピックで前述されているように、有効な SSL/TLS 証明書を Tableau キー ストアにインポートします。

LDAPS を構成するには、identityStore JSON ファイルでホスト名と sslPort オプションを設定する必要があります。

フィードバックをお送りいただき、ありがとうございます。フィードバックは正常に送信されました。ありがとうございます!