NetWorker REST API:如何在處理 RESTAPI 要求時使用遠端 AUTHC 伺服器
Résumé: 在具有多個 NetWorker 資料區的環境中,可透過單一 authc 伺服器設定 NetWorker 驗證。本 KB 說明如何使用標頭將 NetWorker REST API 呼叫導向至指定的認證伺服器,而非 API URI 中的伺服器。
Instructions
NetWorker 具象狀態傳輸 (REST) 應用程式設計介面 (API) 可用來存取 NetWorker 資料保護服務。所有 NetWorker 伺服器都包含 NetWorker Authentication (AUTHC) 功能。在多伺服器環境中,只有一個 AUTHC 伺服器可以處理 NetWorker 驗證。這可以是特定於環境和配置的。在這種情況下,可能需要在 API 請求期間指定「AUTHC」伺服器。此組態在本文中稱為「遠端 AUTHC 伺服器」。如果未在 API 呼叫中指定遠端 AUTHC 伺服器,則可能會失敗並顯示 HTTP 錯誤,指出憑據無效、未經授權的訪問或缺少許可權。NetWorker REST API v3 介面和更新版本可包含具有自訂標頭的 AUTHC 伺服器。本文提供如何判斷哪個主機為 NetWorker Management Console (NMC) 所使用的 AUTHC 伺服器,以及如何使用 X-NW-AUTHC-BASE-URL API 標頭。
使用 REST API 的「遠端 AUTHC 伺服器」:
金鑰值應提供 AUTHC 伺服器 IP 位址或完整網域名稱 (FQDN) 和 AUTHC 連接埠 (預設 = 9090):
Key: X-NW-AUTHC-BASE-URL Value: REMOTE_AUTHC_SERVER_ADDRESS:9090
讓我們比較 REST API 驗證與 NetWorker Management Console (NMC) 和 NetWorker Web 使用者介面 (NWUI) 驗證,以便更清楚地瞭解 NetWorker 認證。每個 NetWorker 伺服器都有自己的 AUTHC 伺服器;但是,這可能不是設定本機 NetWorker 使用者或外部 (AD/LDAP) 使用者的主機。這取決於 NetWorker 環境的設定方式。
- NMC:NMC 認證是在安裝 (Windows) 和安裝後 (Linux) 期間設定。在部署期間指定 AUTHC 伺服器,所有身份驗證請求都定向到 AUTHC 主機。一個 AUTHC 主機可能會管理多個 NetWorker 伺服器的要求。AUTHC 主機定義為
authsvc_hostname在 NMC 伺服器的gstd.conf檔案:- Linux:
/opt/lgtonmc/etc/gstd.conf - Windows (預設):
C:\Program Files\EMC NetWorker\Management\GST\etc\gstd.conf
- Linux:
- NWUI:NWUI 驗證是在安裝 (Windows) 和安裝後 (Linux) 期間設定。在部署期間指定 AUTHC 伺服器,所有身份驗證請求都定向到 AUTHC 主機。一個 AUTHC 主機可能會管理多個 NetWorker 伺服器的要求。遠端驗證伺服器通常可以從 NetWorker 伺服器上的 nsradmin 提示識別:
nsradmin show name; external roles print type: nsr usergroup; name: Application Administrators
# nsradmin
NetWorker administration program.
Use the "help" command for help, "visual" for full-screen mode.
nsradmin> show name; external roles
nsradmin> print type: nsr usergroup; name: application administrators
name: Application Administrators;
external roles: \
"cn=Administrators,cn=Groups,dc=nve,dc=networker,dc=lan",
"cn=Administrators,cn=Groups,dc=WIN-SRVR02,dc=networker,dc=lan",
"CN=NetWorker_Admins,OU=DELL,dc=networker,dc=lan";
nsradmin>
nve」是 NetWorker 伺服器上的本機驗證伺服器,並且」WIN-SRVR02」是已新增 Active Directory 的遠端 AUTHC 伺服器。我們還可以看到有一個指定的 AD 組”NetWorker_Admins」
- REST API:REST API 沒有自己的組態檔案。驗證是針對 URL 中指定的 NetWorker 伺服器執行。若要使用與 NetWorker 伺服器本機 AUTHC 例項不同的 AUTHC 伺服器進行 REST API,必須在 REST API 要求中指定 AUTHC 伺服器。
Key: X-NW-AUTHC-BASE-URL Value: REMOTE_AUTHC_SERVER_ADDRESS:9090
語法:
curl -k --header "X-NW-AUTHC-BASE-URL:REMOTE_AUTHC_SERVER_ADDRESS:9090" --user USER_ACCOUNT "https://NETWORKER_SERVER_ADDRESS:9090/nwrestapi/v3/global/"
範例:
nve:~ # curl -v -k --header "X-NW-AUTHC-BASE-URL:win-srvr02.networker.lan:9090" --user "networker.lan\bkupadmin" "https://nve.networker.lan:9090/nwrestapi/v3/global/jobs" Enter host password for user 'networker.lan\bkupadmin': * Trying 192.168.0.4:9090... * Connected to nve.networker.lan (192.168.0.4) port 9090 (#0) .. * Server auth using Basic with user 'networker.lan\bkupadmin' > GET /nwrestapi/v3/global/jobs HTTP/1.1 > Host: nve.networker.lan:9090 ... > X-NW-AUTHC-BASE-URL:win-srvr02.networker.lan:9090 > < HTTP/1.1 200 ... < {"count":471,"jobs":[{JOBDSB JSON CONTENT}]
nve.networker.lan」以返回 JOBSDB。在請求中,我們使用 AUTHC 主機”win-srvr02.networker.lan「以處理網域使用者的驗證」networker.lan\bkupadmin.」輸出已經過編輯;但是,我們可以看到返回狀態 200(成功)並返回 JOBSDB 的內容。若要使用外部使用者 (AD/LDAP),必須將其整合至 AUTHC 伺服器,並具有指定給 AD 使用者或群組的適當權限。NetWorker:如何設定 AD/LDAP 驗證
記錄:
驗證伺服器:
Linux: /nsr/authc/logs
Windows: C:\Program Files\EMC NetWorker\nsr\authc-server\tomcat\logs
REST API (NetWorker Server):
Linux: /nsr/logs/restapi/restapi.log
Windows: C:\Program Files\EMC NetWorker\nsr\logs\restapi\restapi.log