NetWorker REST API: Een externe AUTHC-server gebruiken bij het verwerken van RESTAPI-aanvragen
Resumen: In omgevingen met meerdere NetWorker-datazones kan NetWorker-authenticatie worden geconfigureerd via één verificatieserver. In dit KB-artikel wordt uitgelegd hoe u een header kunt gebruiken om NetWorker REST API-aanroepen naar de aangewezen authc-server te sturen in plaats van naar de server in de API-URI. ...
Instrucciones
De NetWorker Representational State Transfer (REST) Application Programming Interface (API) wordt gebruikt om toegang te krijgen tot de databeschermingsservice van NetWorker. Alle NetWorker-servers bevatten de functie NetWorker Authentication (AUTHC). In omgevingen met meerdere servers kan slechts één AUTHC-server NetWorker-authenticatie verwerken. Dit kan omgevings- en configuratiespecifiek zijn. In dergelijke gevallen kan het nodig zijn om de AUTHC-server op te geven tijdens API-aanvragen. Deze configuratie wordt in dit artikel een "externe AUTHC server" genoemd. Als de externe AUTHC-server niet is opgegeven in de API-aanroep, kan deze mislukken met HTTP-fouten die ongeldige referenties, ongeautoriseerde toegang of ontbrekende machtigingen suggereren. De NetWorker REST API v3-interface en nieuwer kunnen de AUTHC-server met een aangepaste header bevatten. Dit artikel bevat informatie over hoe u kunt bepalen welke host de AUTHC-server is die wordt gebruikt door de NetWorker Management Console (NMC) en hoe u de X-NW-AUTHC-BASE-URL API-header.
Using a "remote AUTHC server" for REST API:
De sleutelwaarde moet het IP-adres van de AUTHC-server of de volledig gekwalificeerde domeinnaam (FQDN) en de AUTHC-poort (default=9090) opgeven:
Key: X-NW-AUTHC-BASE-URL Value: REMOTE_AUTHC_SERVER_ADDRESS:9090
Laten we REST API-authenticatie vergelijken met NetWorker Management Console (NMC) en NetWorker Web User Interface (NWUI)-authenticatie om een beter inzicht te krijgen in NetWorker-authenticatie. Elke NetWorker-server heeft zijn eigen AUTHC-server; Dit is echter mogelijk niet de host waar lokale NetWorker-gebruikers of externe (AD/LDAP) gebruikers zijn geconfigureerd. Dit is afhankelijk van hoe de NetWorker-omgeving is geconfigureerd.
- NMC: NMC authenticatie wordt geconfigureerd tijdens de installatie (Windows) en na de installatie (Linux). Tijdens de implementatie wordt een AUTHC-server opgegeven en alle verificatieverzoeken worden naar de AUTHC-host gestuurd. Het is mogelijk dat één AUTHC-host de aanvragen voor meerdere NetWorker-servers beheert. De AUTHC-host wordt gedefinieerd als de
authsvc_hostnamein de NMC servergstd.confBestand:- Linux:
/opt/lgtonmc/etc/gstd.conf - Windows (standaard):
C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
- Linux:
- NWUI: NWUI-authenticatie wordt geconfigureerd tijdens de installatie (Windows) en na de installatie (Linux). Tijdens de implementatie wordt een AUTHC-server opgegeven en alle verificatieverzoeken worden naar de AUTHC-host gestuurd. Het is mogelijk dat één AUTHC-host de aanvragen voor meerdere NetWorker-servers beheert. De server voor externe verificatie kan doorgaans worden geïdentificeerd aan de hand van een nsradmin-prompt op de NetWorker-server:
nsradmin show name; external roles print type: nsr usergroup; name: Application Administrators
# nsradmin
NetWorker administration program.
Use the "help" command for help, "visual" for full-screen mode.
nsradmin> show name; external roles
nsradmin> print type: nsr usergroup; name: application administrators
name: Application Administrators;
external roles: \
"cn=Administrators,cn=Groups,dc=nve,dc=networker,dc=lan",
"cn=Administrators,cn=Groups,dc=WIN-SRVR02,dc=networker,dc=lan",
"CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan";
nsradmin>
nve" is de lokale verificatieserver op de NetWorker-server, en "WIN-SRVR02" is een externe AUTHC-server waaraan Active Directory is toegevoegd. We kunnen ook zien dat er een AD-groep is gespecificeerd "NetWorker_Admins"
- REST-API: REST API heeft geen eigen configuratiebestand. De verificatie wordt uitgevoerd op de NetWorker-server die wordt opgegeven in de URL. Als u voor de REST API een andere AUTHC-server wilt gebruiken dan de lokale AUTHC-instantie van de NetWorker-server, moet de AUTHC-server worden opgegeven in de REST API-aanvraag.
Key: X-NW-AUTHC-BASE-URL Value: REMOTE_AUTHC_SERVER_ADDRESS:9090
Syntaxis:
curl -k --header "X-NW-AUTHC-BASE-URL:REMOTE_AUTHC_SERVER_ADDRESS:9090" --user USER_ACCOUNT "https://NETWORKER_SERVER_ADDRESS:9090/nwrestapi/v3/global/"
Voorbeeld:
nve:~ # curl -v -k --header "X-NW-AUTHC-BASE-URL:win-srvr02.networker.lan:9090" --user "networker.lan\bkupadmin" "https://nve.networker.lan:9090/nwrestapi/v3/global/jobs" Enter host password for user 'networker.lan\bkupadmin': * Trying 192.168.0.4:9090... * Connected to nve.networker.lan (192.168.0.4) port 9090 (#0) .. * Server auth using Basic with user 'networker.lan\bkupadmin' > GET /nwrestapi/v3/global/jobs HTTP/1.1 > Host: nve.networker.lan:9090 ... > X-NW-AUTHC-BASE-URL:win-srvr02.networker.lan:9090 > < HTTP/1.1 200 ... < {"count":471,"jobs":[{JOBDSB JSON CONTENT}]
nve.networker.lan" om de JOBSDB te retourneren. In de aanvraag gebruiken we de AUTHC-host "win-srvr02.networker.lan" om de authenticatie van de domeingebruiker te verwerken "networker.lan\bkupadmin." De uitvoer is bewerkt; We kunnen echter zien dat status 200 (succes) wordt geretourneerd en dat de inhoud van de JOBSDB wordt geretourneerd. Om een externe gebruiker (AD/LDAP) te kunnen gebruiken, moet deze zijn geïntegreerd op de AUTHC-server, met de juiste machtigingen voor de AD-gebruiker of -groepen. NetWorker: AD/LDAP-authenticatie instellen
Logs:
Authenticatieserver:
Linux: /nsr/authc/logs
Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\logs
REST API (NetWorker Server):
Linux: /nsr/logs/restapi/restapi.log
Windows: C:\Program Files\EMC NetWorker\nsr\logs\restapi\restapi.log
Información adicional
Networker: Hoe REST API-foutopsporing
in te schakelenNetWorker REST API Triage Guide