NetWorker REST API: RESTAPI要求の処理時にリモートAUTHCサーバーを使用する方法
Summary: 複数のNetWorkerデータゾーンがある環境では、単一のauthcサーバーを使用してNetWorker認証を構成できます。このKBでは、ヘッダーを使用してNetWorker REST APIコールをAPI URIのサーバーではなく、指定されたauthcサーバーに転送する方法について説明します。
Instructions
NetWorker REST(Representational State Transfer)アプリケーション プログラミング インターフェイス(API)は、NetWorkerデータ保護サービスへのアクセスに使用されます。すべてのNetWorkerサーバーには、NetWorker認証(AUTHC)機能が含まれています。マルチサーバー環境では、1台のAUTHCサーバーのみがNetWorker認証を処理できます。これは、環境と構成に固有である可能性があります。このようなシナリオでは、APIリクエスト中に「AUTHC」サーバーを指定する必要がある場合があります。この記事では、この構成を「リモートAUTHCサーバー」と呼びます。リモートAUTHCサーバーがAPIコールで指定されていない場合、無効な認証情報、不正アクセス、または権限の欠落を示すHTTPエラーで失敗する可能性があります。NetWorker REST API v3以降のインターフェイスには、カスタム ヘッダーを使用してAUTHCサーバーを含めることができます。この記事では、NetWorker Management Console (NMC)で使用されているAUTHCサーバーがどのホストであるかを判断する方法と、 X-NW-AUTHC-BASE-URL APIヘッダー。
REST APIに「リモートAUTHCサーバー」を使用する場合:
キー値には、AUTHCサーバーのIPアドレスまたは完全修飾ドメイン名(FQDN)とAUTHCポート(default=9090)を指定する必要があります。
Key: X-NW-AUTHC-BASE-URL Value: REMOTE_AUTHC_SERVER_ADDRESS:9090
NetWorker認証について理解を深めるために、NMC(NetWorker管理コンソール)およびNWUI(NetWorker Webユーザー インターフェイス)認証を使用したREST API認証を比較してみましょう。各NetWorkerサーバーには、独自のAUTHCサーバーがあります。ただし、これはローカルNetWorkerユーザーまたは外部(AD/LDAP)ユーザーが構成されているホストではない可能性があります。これは、NetWorker環境の構成方法によって異なります。
- NMC: NMC認証は、インストール時(Windows)およびインストール後(Linux)に構成されます。導入時にAUTHCサーバーが指定され、すべての認証要求がAUTHCホストに送信されます。1つのAUTHCホストで複数のNetWorkerサーバーに対するリクエストを管理できます。AUTHCホストは、
authsvc_hostnameNMCサーバーのgstd.conf:- Linuxの場合
/opt/lgtonmc/etc/gstd.conf - Windows(デフォルト):
C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
- Linuxの場合
- NWUI:NWUI認証は、インストール時(Windows)およびインストール後(Linux)に構成されます。導入時にAUTHCサーバーが指定され、すべての認証要求がAUTHCホストに送信されます。1つのAUTHCホストで複数のNetWorkerサーバーに対するリクエストを管理できます。リモート認証サーバーは通常、NetWorkerサーバーのnsradminプロンプトから識別できます。
nsradmin show name; external roles print type: nsr usergroup; name: Application Administrators
# nsradmin
NetWorker administration program.
Use the "help" command for help, "visual" for full-screen mode.
nsradmin> show name; external roles
nsradmin> print type: nsr usergroup; name: application administrators
name: Application Administrators;
external roles: \
"cn=Administrators,cn=Groups,dc=nve,dc=networker,dc=lan",
"cn=Administrators,cn=Groups,dc=WIN-SRVR02,dc=networker,dc=lan",
"CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan";
nsradmin>
nve「」はNetWorkerサーバー上のローカル認証サーバーで、「WIN-SRVR02」は、Active Directoryが追加されたリモートAUTHCサーバーです。また、ADグループが指定されていることも確認できます」NetWorker_Admins」
- REST API: REST APIに独自の構成ファイルはありません。認証は、URLで指定されたNetWorkerサーバーに対して実行されます。NetWorkerサーバーのローカルAUTHCインスタンスとは異なるAUTHCサーバーをREST APIに使用するには、REST APIリクエストでAUTHCサーバーを指定する必要があります。
Key: X-NW-AUTHC-BASE-URL Value: REMOTE_AUTHC_SERVER_ADDRESS:9090
構文:
curl -k --header "X-NW-AUTHC-BASE-URL:REMOTE_AUTHC_SERVER_ADDRESS:9090" --user USER_ACCOUNT "https://NETWORKER_SERVER_ADDRESS:9090/nwrestapi/v3/global/"
Example:
nve:~ # curl -v -k --header "X-NW-AUTHC-BASE-URL:win-srvr02.networker.lan:9090" --user "networker.lan\bkupadmin" "https://nve.networker.lan:9090/nwrestapi/v3/global/jobs" Enter host password for user 'networker.lan\bkupadmin': * Trying 192.168.0.4:9090... * Connected to nve.networker.lan (192.168.0.4) port 9090 (#0) .. * Server auth using Basic with user 'networker.lan\bkupadmin' > GET /nwrestapi/v3/global/jobs HTTP/1.1 > Host: nve.networker.lan:9090 ... > X-NW-AUTHC-BASE-URL:win-srvr02.networker.lan:9090 > < HTTP/1.1 200 ... < {"count":471,"jobs":[{JOBDSB JSON CONTENT}]
nve.networker.lan" を使用して、JOBSDB.リクエストでは、AUTHCホスト「win-srvr02.networker.lan" ドメイン ユーザーの認証を処理するには "networker.lan\bkupadmin」の出力です。出力が編集されました。ただし、ステータス200(成功)が返され、JOBSDBの内容が返されていることがわかります。外部ユーザー(AD/LDAP)を使用するには、AUTHCサーバー上で統合し、ADユーザーまたはグループに適切な権限を指定する必要があります。NetWorker:AD/LDAP認証を設定する方法
ログ:
認証サーバー:
Linuxの場合 /nsr/authc/logs
Windowsの場合: C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\logs
REST API(NetWorkerサーバー):
Linuxの場合 /nsr/logs/restapi/restapi.log
Windowsの場合: C:\Program Files\EMC NetWorker\nsr\logs\restapi\restapi.log
Additional Information
Networker:REST APIデバッグを有効にする方法
NetWorker REST APIトリアージ ガイド