REST API NetWorker: Как использовать удаленный сервер AUTHC при обработке запросов RESTAPI
Résumé: В средах с несколькими зонами данных NetWorker аутентификацию NetWorker можно настроить с помощью одного сервера аутентификации. В этой статье базы знаний объясняется, как использовать заголовок для направления вызовов NetWorker REST API на указанный сервер authc, а не на сервер в URI API. ...
Instructions
Для доступа к службе защиты данных NetWorker используется интерфейс прикладного программирования NetWorker Representational State Transfer (REST). Все серверы NetWorker включают функцию проверки подлинности NetWorker (AUTHC). В многосерверных средах только один сервер AUTHC может обрабатывать аутентификацию NetWorker. Это может зависеть от среды и конфигурации. В таких случаях может потребоваться указать сервер «AUTHC» во время запросов API. В данной статье такая конфигурация называется «удаленным сервером AUTHC». Если удаленный сервер AUTHC не указан в вызове API, он может завершиться сбоем с ошибками HTTP, указывающими на недействительные учетные данные, несанкционированный доступ или отсутствие разрешений. Интерфейс NetWorker REST API v3 и более поздних версий может включать сервер AUTHC с пользовательским заголовком. В этой статье содержится информация о том, как определить, какой хост является сервером AUTHC, используемым консолью управления NetWorker Management Console (NMC), и как использовать метод X-NW-AUTHC-BASE-URL Заголовок API.
Использование «удаленного сервера AUTHC» для REST API:
Значение ключа должно содержать IP-адрес сервера AUTHC или полное доменное имя (FQDN) и порт AUTHC (по умолчанию=9090):
Key: X-NW-AUTHC-BASE-URL Value: REMOTE_AUTHC_SERVER_ADDRESS:9090
Давайте сравним аутентификацию REST API с проверкой подлинности NetWorker Management Console (NMC) и NetWorker Web User Interface (NWUI), чтобы лучше понять проверку подлинности NetWorker. Каждый сервер NetWorker имеет собственный сервер AUTHC; однако это может быть не тот хост, на котором настроены локальные пользователи NetWorker или внешние пользователи (AD/LDAP). Это зависит от конфигурации среды NetWorker.
- NMC. Аутентификация NMC настраивается во время установки (Windows) и после установки (Linux). Сервер AUTHC указывается во время развертывания, и все запросы на аутентификацию направляются на хост AUTHC. Один хост AUTHC может управлять запросами для нескольких серверов NetWorker. Хост AUTHC определяется как
authsvc_hostnameв меню сервера NMCgstd.conf.- Linux:
/opt/lgtonmc/etc/gstd.conf - Windows (по умолчанию):
C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
- Linux:
- NWUI. Аутентификация NWUI настраивается во время установки (Windows) и после установки (Linux). Сервер AUTHC указывается во время развертывания, и все запросы на аутентификацию направляются на хост AUTHC. Один хост AUTHC может управлять запросами для нескольких серверов NetWorker. Сервер удаленной проверки подлинности обычно можно определить из командной строки nsradmin на сервере NetWorker:
nsradmin show name; external roles print type: nsr usergroup; name: Application Administrators
# nsradmin
NetWorker administration program.
Use the "help" command for help, "visual" for full-screen mode.
nsradmin> show name; external roles
nsradmin> print type: nsr usergroup; name: application administrators
name: Application Administrators;
external roles: \
"cn=Administrators,cn=Groups,dc=nve,dc=networker,dc=lan",
"cn=Administrators,cn=Groups,dc=WIN-SRVR02,dc=networker,dc=lan",
"CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan";
nsradmin>
nve» — это локальный сервер аутентификации на сервере NetWorker, а «WIN-SRVR02» — удаленный сервер AUTHC, на котором была добавлена служба Active Directory. Мы также видим, что существует группа AD, указанная "NetWorker_Admins»
- REST API: REST API не имеет собственного файла конфигурации. Аутентификация выполняется на сервере NetWorker, указанном в URL-адресе. Чтобы использовать сервер AUTHC, отличный от локального экземпляра AUTHC сервера NetWorker, для REST API необходимо указать сервер AUTHC.
Key: X-NW-AUTHC-BASE-URL Value: REMOTE_AUTHC_SERVER_ADDRESS:9090
Синтаксис:
curl -k --header "X-NW-AUTHC-BASE-URL:REMOTE_AUTHC_SERVER_ADDRESS:9090" --user USER_ACCOUNT "https://NETWORKER_SERVER_ADDRESS:9090/nwrestapi/v3/global/"
Пример:
nve:~ # curl -v -k --header "X-NW-AUTHC-BASE-URL:win-srvr02.networker.lan:9090" --user "networker.lan\bkupadmin" "https://nve.networker.lan:9090/nwrestapi/v3/global/jobs" Enter host password for user 'networker.lan\bkupadmin': * Trying 192.168.0.4:9090... * Connected to nve.networker.lan (192.168.0.4) port 9090 (#0) .. * Server auth using Basic with user 'networker.lan\bkupadmin' > GET /nwrestapi/v3/global/jobs HTTP/1.1 > Host: nve.networker.lan:9090 ... > X-NW-AUTHC-BASE-URL:win-srvr02.networker.lan:9090 > < HTTP/1.1 200 ... < {"count":471,"jobs":[{JOBDSB JSON CONTENT}]
nve.networker.lan" для возврата JOBSDB. В запросе используется хост AUTHC «win-srvr02.networker.lan" для обработки аутентификации пользователя домена "networker.lan\bkupadmin». Выходные данные были отредактированы; однако мы видим, что возвращается состояние 200 (успешно) и возвращается содержимое базы данных JOBSDB. Чтобы использовать внешнего пользователя (AD/LDAP), он должен быть интегрирован в сервер AUTHC с соответствующими разрешениями, назначенными пользователю или группам AD. NetWorker. Настройка аутентификации AD/LDAP
Журналы.
Сервер аутентификации:
Linux: /nsr/authc/logs
Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\logs
API-интерфейс REST (сервер NetWorker).
Linux: /nsr/logs/restapi/restapi.log
Windows: C:\Program Files\EMC NetWorker\nsr\logs\restapi\restapi.log
Informations supplémentaires
неполадокNetworker: Включение отладки
по API-интерфейсу RESTРуководство по рассмотрению проблем с NetWorker REST API