セッション Cookie を使用した NSX API 認証

このトピックでは、API を使用するときに NSX セッションベースの認証を使用して JSESSIONID Cookie を生成する方法について説明します。この方法を使用して、ユーザー名とパスワードの入力の必要回数を減らします。このタイプの認証は、vIDM および LDAP 認証で使用できます。

NSX では、いくつかの異なるメカニズムを使用して NSX ユーザーを認証します。これには以下が含まれます。

HTTP 認証
セッションベースの認証
プリンシパル ID または証明書ベースの認証
vIDM および RBAC を使用したシングルサインオン

NSX では、ユーザー名とパスワードを使用してセッション作成時にセッション Cookie を生成します。セッション Cookie が作成されると、以降の API 要求では、ユーザー名とパスワードの認証情報の代わりにこのセッション Cookie を使用できます。これは、セッション状態が実行されるサーバに対してローカルであることを意味します。クライアントが NSX Manager に要求を送信すると、クライアントから提示されたセッション ID がサーバによって生成された ID のいずれかと一致する場合にのみ、クライアントに認証を許可します。ユーザーが NSX Manager からログアウトすると、セッション ID は直ちに削除されます。再利用することはできません。アイドル状態のセッションは自動的にタイムアウトになるか、API を使用して削除できます。

API 要求を使用してアクセスすると、監査ログの詳細が生成されます。このログは常に有効になっており、無効にすることはできません。セッションの監査はシステム起動時に開始します。監査ログメッセージの構造化データの部分に audit="true" というテキストが含まれています。

この例では、cURL を使用して API 呼び出しのセッションベースの認証を作成する方法について説明します。

手順

NSX Manager に対して認証し、ヘッダーから xsrf を取得する新しいセッション Cookie を作成するには、次のように入力します。
```
# curl -i -k -c session.txt -X POST -d '[email protected]&j_password=SecretPwsd3c4d' https://<nsx-manager>/api/session/create 2>&1 > response.txt
```
この例では、cURL コマンドがサーバに対して認証を行い、セッション Cookie を sessions.txt ファイルに配置し、ヘッダーと応答を response.txt ファイルに書き込みます。以降の要求で指定するには、session.txt のヘッダーの 1 つである x-xsrf-token ヘッダーを使用する必要があります。

また、ユーザー名の @ に標準の Unicode/URI エンコードを使用することもできます。

セッションの内容の例を次に示します。
```
# cat session.txt
      # Netscape HTTP Cookie File
      # https://curl.haxx.se/docs/http-cookies.html
      # This file was generated by libcurl! Edit at your own
        risk.
      # HttpOnly_172.182.183.135 FALSE / TRUE 0 JSESSIONID CFG588DF6DGF493C0EAEFC62685C42E1
```

2 つのセッションを作成する必要がある場合は、両方のセッションが有効になるように session.txt ファイルの名前を変更します。

curl -i -k -c session.txt -X POST -d '[email protected]&j_password=SecretPwsd3c4d' https://<nsx-manager>/api/session/create 2>&1 > response.txt
# curl -i -k -c session2.txt -X POST -d 'j_username= [email protected]&j_password=SecretPwsd3c4d' https://<nsx-manager>/api/session/create 2>&1 > response2.txt

以降の呼び出しでは、前の手順のセッション Cookie と xsrf ヘッダーを使用します。response.txt は、前の手順のファイルに対応しています。

# curl -k -b session.txt -H "x-xsrf-token: `grep -i xsrf response.txt | awk '{print $2}'`" https://<nsx-manager>/policy/api/v1/infra/segments

      {
        "results" : [ {
          "type" : "ROUTED",
          "subnets" : [ {
            "gateway_address" : "192.168.10.1/24",
            "network" : "192.168.10.0/24"
          } ],
          "connectivity_path" :
        "/infra/tier-1s/test_t1",
          "transport_zone_path" :
        "/infra/sites/default/enforcement-points/default/transport-zones/1b3a2f36-bfd1-443e-a0f6-4de01abc963e",
          "advanced_config" : {
            "address_pool_paths" : [ ],
            "hybrid" : false,
            "multicast" : true,
            "inter_router" : false,
            "local_egress" : false,
            "urpf_mode" : "STRICT",
            "connectivity" : "ON"
          },
          "admin_state" : "UP",
          "replication_mode" : "MTEP",
          "resource_type" : "Segment",
          "id" : "seg1",
          "display_name" : "seg1",
          "path" : "/infra/segments/seg1",
          "relative_path" : "seg1",
          "parent_path" : "/infra",
          "unique_id" :
        "6573d2c9-f4f9-4b37-b410-71bded8857c3",
          "marked_for_delete" : false,
          "overridden" : false,
          "_create_user" : "admin",
          "_create_time" : 1633331197569,
          "_last_modified_user" : "admin",
          "_last_modified_time" : 1633331252660,
          "_system_owned" : false,
          "_protection" : "NOT_PROTECTED",
          "_revision" : 1
        } ],
        "result_count" : 1,
        "sort_by" : "display_name",
        "sort_ascending" : true

クラスタ内の別のノードで同じセッションを使用すると、次のエラーメッセージが表示されてコマンドが失敗します。

The credentials were incorrect or the account specified has been locked.","error_code":403.

セッションの有効期限が切れると、NSX Manager は 403 Forbidden HTTP 応答で応答します。その後、新しいセッション Cookie と x-xsrf-token を取得する必要があります。

セッションの有効期限を構成するには、connection_timeout API コマンドを使用します。デフォルトのセッション有効期限は 1,800 秒（30 分）に設定されています。

GET https://<nsx-mgr>/api/v1/cluster/api-service

{
    "session_timeout": 1800,
    "connection_timeout": 30,
    "protocol_versions": [
        {
            "name": "TLSv1.1",
            "enabled": true
        },
        {
            "name": "TLSv1.2",
            "enabled": true
        }
    ],
    "cipher_suites": [
        {
            "name": "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA",
            "enabled": true
        },
        {
            "name": "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256",
            "enabled": true
        },
        {
            "name": "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
            "enabled": true
        },
        {
            "name": "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA",
            "enabled": true
        },
        {
            "name": "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384",
            "enabled": true
        },
        {
            "name": "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
            "enabled": true
        },
        {
            "name": "TLS_RSA_WITH_AES_128_CBC_SHA",
            "enabled": true
        },
        {
            "name": "TLS_RSA_WITH_AES_128_CBC_SHA256",
            "enabled": true
        },
        {
            "name": "TLS_RSA_WITH_AES_128_GCM_SHA256",
            "enabled": true
        },
        {
            "name": "TLS_RSA_WITH_AES_256_CBC_SHA",
            "enabled": true
        },
        {
            "name": "TLS_RSA_WITH_AES_256_CBC_SHA256",
            "enabled": true
        },
        {
            "name": "TLS_RSA_WITH_AES_256_GCM_SHA384",
            "enabled": true
        }
    ],
    "redirect_host": "",
    "client_api_rate_limit": 100,
    "global_api_concurrency_limit": 199,
    "client_api_concurrency_limit": 40,
    "basic_authentication_enabled": true,
    "cookie_based_authentication_enabled": true,
    "resource_type": "ApiServiceConfig",
    "id": "reverse_proxy_config",
    "display_name": "reverse_proxy_config",
    "_create_time": 1658339081246,
    "_create_user": "system",
    "_last_modified_time": 1658339081246,
    "_last_modified_user": "system",
    "_system_owned": false,
    "_protection": "NOT_PROTECTED",
    "_revision": 0
}

セッション Cookie を削除するには、/api/session/destroy API コマンドを使用します。

curl -k -b session.txt -H "x-xsrf-token: `grep -i xsrf response.txt | awk '{print $2}'`" https://<nsx-manager>/api/v1/node/version

次はその例です。

curl -k -b session.txt -H "x-xsrf-token: `grep -i xsrf response.txt | awk '{print $2}'`" https://<nsx-manager>/api/v1/node/version

{
    "module_name" : "common-services",
    "error_message" : "The credentials were incorrect or the account specified has been locked.",
    "error_code" : "403"
}

次のタスク

セッションベースのサポートされている認証サービスでユーザーを認証するための要件を確認するには、VMware Identity Manager/Workspace ONE Access との連携またはLDAP との連携を参照してください。