tsm security

  • 版本 :2022.1 及更高版本

使用 tsm security 命令配置 Tableau Server 对外部(网关)SSL 或存储库 (Postgres) SSL 的支持。 存储库 SSL 配置包括通过从 Tableau 客户端(包括 Tableau Desktop、Tableau Mobile 和 Web 浏览器)到存储库的直接连接来启用 SSL 的选项。

使用 tsm security 命令配置 Tableau Server 对外部(网关)SSL 或存储库 (Postgres) SSL 的支持。 存储库 SSL 配置包括通过从 Tableau 客户端(包括 Tableau Desktop、Tableau Mobile 和 Web 浏览器)到存储库的直接连接来启用 SSL 的选项。

先决条件

在配置 SSL 之前,您必须获取证书,然后将其复制到运行 Tableau Server 网关进程的计算机。需要进行额外的准备才能启用客户端直接连接。若要了解详情,请参阅以下文章:

针对与来往 Tableau Server 的外部 HTTP 流量配置 SSL

针对内部 Postgres 通信配置 SSL

有关相互(双向)SSL 的信息,请参见配置相互 SSL 身份验证tsm authentication mutual-ssl 命令

tsm security custom-cert add

将自定义 CA 证书添加到 Tableau Server。此证书可根据需要用于为 SMTP 服务器和 Tableau Server 之间的 TLS 通信建立信任。

如果自定义证书已存在,此命令将失败。您可以使用 tsm security custom-cert delete 命令移除现有自定义证书。

注意:使用此命令添加的证书可能由其他 Tableau Server 服务用于 TLS 连接。

作为灾难恢复计划的一部分,我们建议将证书文件的备份保留在 Tableau Server 外的安全位置。添加到 Tableau Server 的证书文件将由客户端文件服务存储并分发到其他节点。但是,该文件不会以可恢复格式存储。请参见Tableau Server 客户端文件服务

概要

tsm security custom-cert add --cert-file

选项

  • -c, --cert-file

  • 必需。以有效 PEM 或 DER 格式指定证书文件的名称。

tsm security custom-cert delete

移除服务器的现有自定义证书。这样,您就可以添加新的自定义证书。

概要

tsm security custom-cert delete[global options]

tsm security custom-cert list

列出自定义证书的详细信息。

概要

tsm security custom-cert list[global options]

tsm security external-ssl disable

删除服务器现有的 SSL 配置设置,并停止加密外部客户端与服务器之间的流量。

概要

tsm security external-ssl disable [global options]

tsm security external-ssl enable

通过外部 HTTP 通信为 SSL 启用和指定证书和密钥文件。

概要

tsm security external-ssl enable --cert-file

选项

  • --cert-file

  • 必需。指定有效的 PEM 编码 x509 证书的名称,其扩展名为 .crt。

  • --key-file

  • 必需。指定有效的 RSA 或 DSA 私钥文件(按照约定具有 .key 扩展名)。

  • --chain-file

  • 指定证书链文件 (.crt)

    Mac 上的 Tableau Desktop 需要证书链文件。在某些情况下,Tableau Mobile 可能需要证书链文件。

    某些证书提供者会针对 Apache 颁发两个证书。第二个证书是链文件,连接构成服务器证书的证书链的所有证书。

    文件中的所有证书必须为 x509 PEM 编码,文件扩展名必须为 .crt(而不是 .pem)。

  • --passphrase

  • 可选。证书文件的密码。您输入的密码将在空闲时加密。

    注意:如果创建包含密码的证书密钥文件,则无法为 SAML 重用 SSL 证书密钥。

  • --protocols <列出协议>

  • 可选。列出想要允许或拒绝的传输层安全性 (TLS) 协议版本。

    TLS 是 SSL 的改进版本。Tableau Server 使用 TLS 来进行身份验证和加密连接。接受的值包括 Apache 支持的协议版本。要拒绝协议,请在协议版本前面添加减号 (-) 字符。

    默认设置:"all, -SSLv2, -SSLv3"

    此默认值显式不允许客户端使用 SSL v2 或 SSL v3 协议连接到 Tableau Server。但是,我们建议您也拒绝 TLS v1 和 TLS v1.1。

    在您拒绝特定版本的 TLS 之前,请确认您的用户连接到 Tableau Server 所使用的浏览器是否支持 TLS v1.2。在浏览器更新之前,您可能需要保留对 TLSv1.1 的支持。

    如果您不需要支持 TLS v1 或 v1.1,请使用以下命令允许 TLS v1.2(使用值 all),并显式拒绝 SSL v2、SSL v3、TLS v1 和 TLS v1.1。

    tsm security external-ssl enable --cert-file file.crt --key-file file.key --protocols "all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1"

tsm security external-ssl list

显示与网关外部 SSL 配置相关的设置列表。该列表包括正在使用的证书文件的名称,但不包括其位置。

概要

tsm security external-ssl list [global options]

tsm security kms set-mode aws

将 KMS 模式设置为 AWS。

您将需要 AWS KMS 中的完整 ARN 字符串。此字符串位于 AWS KMS 管理页面的“常规配置”部分中。ARN 以此格式显示: arn:aws:kms:

有关详细信息,请参见AWS 密钥管理系统

概要

tsm security kms set-mode aws --key-arn "

选项

示例

举例来说,如果 AWS KMS 实例正在 us-west-2 区域中运行,您的帐号为 867530990073,CMK 密钥为 1abc23de-fg45-6hij-7k89-1l0mn1234567,则命令将为:

tsm security kms set-mode aws --aws-region "us-west-2" --key-arn "arn:aws:kms:us-west-2:867530990073:key/1abc23de-fg45-6hij-7k89-1l0mn1234567"

tsm security kms set-mode azure

将 KMS 模式设置为 Azure 密钥库。

注意:运行 tsm security kms status 时,KMS 模式将显示“Azure 密钥库”,但可将其设置为“Azure”。

您将需要 Azure 密钥库的名称和 Azure 中密钥的名称。

有关详细信息,请参见Azure 密钥库

概要

tsm security kms set-mode azure --key-name "

选项

  • --key-name

  • 必需。存储在 Azure 密钥库中的不对称密钥的名称。

  • --vault-name

  • 必需。Azure 密钥库的名称。

示例

举例来说,如果您的 Azure 密钥库名为 tabsrv-keyvault,并且您的密钥为 tabsrv-sandbox-key01,则命令将为:

tsm security kms set-mode azure --key-name "tabsrv-sandbox-key01" --vault-name "tabsrv-keyvault"

tsm security kms set-mode local

将 KMS 模式设置或重置为本地。本地是默认 KMS 模式。有关详细信息,请参见Tableau Server 密钥管理系统

概要

tsm security kms set-mode local [global options]

tsm security kms status

查看 KMS 配置的状态。返回的状态包括:

  • 状态:OK 表示,在多节点安装的情况下,则 Tableau 或控制器节点可访问 KMS。

  • 模式:本地、AWS 或 Azure 密钥库。指示正在使用哪种 KMS 模式。

  • 加密和解密主加密密钥:

    KMS 存储主数据提取密钥 (MEK) 的集合。每个 MEK 具有:

    • 一个 ID,例如 8ddd70df-be67-4dbf-9c35-1f0aa2421521

    • “加密或解密密钥”或“仅解密密钥”状态。如果密钥为“加密或解密”,Tableau Server 将使用它对新数据进行加密。否则,密钥将仅用于解密。

    • 创建时间戳,例如“创建时间: 2019-05-29T23:46:54Z。”

    • 首次过渡到加密和解密:指示密钥何时成为加密或解密密钥的时间戳。

    • 过渡到仅解密:指示密钥何时过渡到仅解密的时间戳。

返回的其他值取决于 KMS 模式。

当 KMS 模式为 AWS 时,将返回以下各项:

  • 客户主密钥 (CMK) 的 ARN (ID)。

  • CMK 所在的区域。

  • 正在使用的根主密钥 (RMK) 的 ID。RMK 是通过 CMK 加密的密钥。Tableau Server 通过调用 AWS KMS 对 CMK 进行解密。RMK 随后用于对主数据提取密钥 (MEK) 进行加密/解密。RMK 可以更改,但一次只能有一个。

当 KMS 模式为 Azure 密钥库时,将返回以下各项:

  • 名称:Azure 密钥库的名称。

  • Azure 密钥库密钥名称:库中密钥的名称。

概要

tsm security kms status [global options]

tsm security maestro-rserve-ssl disable

禁用 Rserve 连接。

有关详细信息,请参见在您的流程中使用 R (Rserve) 脚本

tsm security maestro-rserve-ssl enable

配置 Rserve 服务器和 Tableau Server 版本 2019.3 或更高版本的连接。

有关详细信息,请参见在您的流程中使用 R (Rserve) 脚本

概要

tsm security maestro-rserve-ssl enable --connection-type

选项

  • --connection-type

  • 选择 maestro-rserve-secure 以启用安全连接,或选择 maestro-rserve 以启用不安全的连接。如果选择 maestro-rserve-secure,请在命令行中指定证书文件路径。

  • --rserve-host

  • 主机

  • --rserve-port

  • 端口

  • --rserve-username

  • 用户名

  • --rserve-password

  • 密码

  • --rserve-connect-timeout-ms

  • 连接超时(以毫秒为单位)。例如 --rserve-connect-timeout-ms 900000

tsm security maestro-tabpy-ssl disable

禁用 TabPy 连接。

有关详细信息,请参见在您的流程中使用 Python 脚本

tsm security maestro-tabpy-ssl enable

配置 TabPy 服务器和 Tableau Server 版本 2019.3 或更高版本的连接。

有关详细信息,请参见在您的流程中使用 Python 脚本

概要

tsm security maestro-tabpy-ssl enable --connection-type

选项

  • --connection-type

  • 选择 maestro-tabpy-secure 以启用安全连接,或选择 maestro-tabpy 以启用不安全的连接。如果选择 maestro-tabpy-secure,请在命令行中指定证书文件 -cf<证书文件路径> 。

  • --tabpy-host

  • 主机

  • --tabpy-port

  • 端口

  • --tabpy-username

  • 用户名

  • --tabpy-password

  • 密码

  • --tabpy-connect-timeout-ms

  • 连接超时(以毫秒为单位)。例如 --tabpy-connect-timeout-ms 900000

tsm security regenerate-internal-tokens

此命令执行以下操作:

  1. 如果 Tableau Server 正在运行,请将其停止。

  2. 为搜索服务器的 Postgres 存储库生成新的内部 SSL 证书。

  3. 为所有内部管理的密码生成新密码。

  4. 更新所有 Postgres 存储库密码。

  5. 为资产密钥管理生成新的加密密钥,并使用新密钥对资产密钥进行加密。

  6. 为配置密文(主密钥)生成新的加密密钥,并使用该密钥对配置进行加密。

  7. 使用所有这些密文重新配置和更新 Tableau Server。在分布式部署中,此命令还会分发重新配置内容,并跨群集中的所有节点进行更新。

  8. 重新生成新的主密钥,将其添加到主密钥存储文件,然后创建新的安全令牌供内部使用。

  9. 启动 Tableau Server。

如果打算在运行此命令后向群集中添加节点,您将需要生成新的节点配置文件,以便更新此命令生成的令牌、密钥和密文。请参见安装和配置附加节点

有关内部密码的详细信息,请参见管理服务器密文

概要

tsm security regenerate-internal-tokens [options] [global options]

选项

  • --request-timeout

  • 可选。

    等待指定的时间以完成命令。默认值为 1800(30 分钟)。

tsm security repository-ssl disable

停止加密存储库与其他服务器组件之间的流量,并停止支持 Tableau 客户端的直接连接。

概要

tsm security repository-ssl disable [global-options]

tsm security repository-ssl enable

当存储库为本地存储库时,启用 SSL 并生成用于 Postgres 存储库与其他服务器组件之间的加密流量的服务器 .crt 和 .key 文件。

从版本 2021.4 开始,当使用外部存储库时,导入服务器的 .crt 和“密钥文件”,用于对外部 PosgreSQL 存储库和 Tableau Server 组件之间的流量进行加密。

如果启用此项,则还会为你提供通过从 Tableau 客户端到服务器的直接连接来启用 SSL 的选项。

概要

tsm security repository-ssl enable [options] [global options]

选项

  • -i, --internal-only

  • 可选。此选项仅适用于存储库位于 Tableau Server 本地且未在 Tableau Server 外部配置的情况。此选项不应用于配置有外部存储库的 Tableau Server。

    如果设置为 --internal-only,则 Tableau Server 在存储库与其他服务器组件之间使用 SSL,它支持但不需要 SSL,即可通过 tableaureadonly 用户进行直接连接。

    如果未设置此选项,则对于存储库与其他服务器组件之间的流量,以及 Tableau 客户端的直接连接(通过 tableaureadonly 用户进行的连接),Tableau Server 需要使用 SSL。

    指定此选项时,还必须完成配置 Postgres SSL 以允许从客户端直接连接中所描述的步骤。

  • -c, --certificate

  • 可选。版本 2021.4 中新增。此选项仅适用于配置有外部存储库的 Tableau Server,可用于在安装后启用或禁用 SSL 连接。

    此选项允许您在 Tableau Server 和外部存储库之间启用 SSL/TSL 连接。使用此选项时,请提供 SSL 证书文件的完整路径,包括外部存储库的文件名。此文件与启用外部存储库时使用的文件相同。

tsm security repository-ssl get-certificate-file

获取用于与 Tableau 存储库进行 SSL 通信的公共证书文件。必须为存储库通信启用 SSL,然后才能检索证书。证书文件将自动分发给 Tableau Server 群集中的内部存储库客户端。为了使远程客户端能够通过 SSL 连接到存储库,您必须将公共证书文件复制到每个客户端。

此命令仅适用于使用本地存储库的 Tableau Server,并且在 Tableau Server 配置有外部存储库时会导致错误。

概要

tsm security repository-ssl get-certificate-file [global-options]

选项

  • -f, --file

  • 必需。

    应在其中保存证书文件的完整路径和文件名(扩展名为 .cert)。如果存在重复文件,则将覆盖文件。

tsm security repository-ssl list

返回现有存储库 (Postgres) SSL 配置。

概要

tsm security repository-ssl list [global-options]

tsm security rotate-coordination-service-secrets

版本:版本 2022.1 中新增

生成协调服务用于安全连接的新证书、密钥和信任存储。

概要

tsm security rotate-coordination-service-secrets [options][global options]

选项

  • --coord-svc-restart-timeout <秒数>

  • 可选。

    等待指定的秒数让协调服务重新启动。默认值:1200(20 分钟)。

  • --ignore-prompt

  • 可选。

    在没有提示的情况下执行重新启动(如有必要)。

  • --request-timeout <秒数>

  • 可选。

    等待指定的秒数让命令完成。默认值:1800 秒(30 分钟)。

全局选项

  • -h, --help

  • 可选。

    显示命令帮助。

  • -p, --password

  • 在会话不是活动状态的情况下为必需,-u--username 也为必需。

    为在 -u--username 中指定的用户指定密码。

    如果密码包括空格或特殊字符,请将其括在引号中:

    --password "my password"

  • -s, --server https://

  • 可选。

    对 Tableau 服务管理器使用指定的地址。URL 必须以 https 开头,包括端口 8850,并使用服务器名称(而不是 IP 地址)。例如,https://。如果没有指定服务器,则假定为 https://

  • --trust-admin-controller-cert

  • 可选。

    使用此标志来信任 TSM 控制器上的自签名证书。有关证书信任和 CLI 连接的详细信息,请参见 连接 TSM 客户端

  • -u, --username

  • 在会话不是活动状态的情况下为必需,-p--password 也为必需。

    指定用户帐户。如果未包括此选项,则使用您登录所使用的凭据运行该命令。