本主題說明如何在使用 API 時,使用 NSX 以工作階段為基礎的驗證產生 JSESSIONID Cookie。使用此方法可減少必須輸入使用者名稱和密碼的次數。您可以將此類型的驗證與 vIDM 和 LDAP 驗證搭配使用。
NSX 使用數種不同的機制驗證 NSX 使用者。其中包括:
- HTTP 驗證
- 以工作階段為基礎的驗證
- 主體身分識別或憑證式驗證
- 使用 vIDM 和雲端服務平台 (CSP) 進行單一登入
NSX 會在工作階段建立期間使用使用者名稱和密碼產生工作階段 Cookie。建立工作階段 Cookie 後,後續 API 要求可以選擇性地使用此工作階段 Cookie,而非使用者名稱和密碼認證。這表示工作階段狀態針對的是產生工作階段 Cookie 的特定 NSX Manager。用戶端向 NSX Manager 提出要求時,僅允許用戶端在其呈現的工作階段 Cookie 與管理程式產生的其中一個 Cookie 相符時,才會進行驗證。當任何使用者登出 NSX Manager 時,會立即從 NSX Manager 的反向 Proxy 中銷毀工作階段 Cookie,且無法重複使用。閒置工作階段會自動逾時,或者您可以使用 API 將其刪除。
使用 API 要求進行存取會產生稽核記錄詳細資訊。一律啟用此記錄,且無法停用。工作階段稽核會在系統啟動時啟動。稽核記錄訊息包含記錄訊息結構化資料部分中的文字 audit="true"。
此範例說明如何使用 cURL 為 API 呼叫建立以工作階段為基礎的驗證。
程序
- 若要建立新工作階段 Cookie,以便對 NSX Manager 進行驗證並從標頭擷取 xsrf,請輸入:
# curl -i -k -c session.txt -X POST -d '[email protected]&j_password=SecretPwsd3c4d' https://<nsx-manager>/api/session/create 2>&1 > response.txt
在此範例中,cURL 命令對管理程式進行驗證、將工作階段 Cookie 置於 sessions.txt 檔案中,並將所有 HTTP 回應標頭寫入 headers.txt 檔案。您需要使用 headers.txt 中的其中一個標頭 (x-xsrf-token 標頭),在後續要求中提供。
您也可以對使用者名稱中的 @ 使用標準 Unicode/URI 編碼。
工作階段內容範例如下所示:
# cat session.txt # Netscape HTTP Cookie File # https://curl.haxx.se/docs/http-cookies.html # This file was generated by libcurl! Edit at your own risk. # HttpOnly_172.182.183.135 FALSE / TRUE 0 JSESSIONID CFG588DF6DGF493C0EAEFC62685C42E1
- 如果您需要建立兩個工作階段,請變更 session.txt 檔案的名稱,讓這兩個工作階段都有效。
curl -i -k -c session.txt -X POST -d '[email protected]&j_password=SecretPwsd3c4d' https://<nsx-manager>/api/session/create 2>&1 > response.txt # curl -i -k -c session2.txt -X POST -d 'j_username= [email protected]&j_password=SecretPwsd3c4d' https://<nsx-manager>/api/session/create 2>&1 > response2.txt
- 對於後續呼叫,請使用上一步中的工作階段 Cookie 和 xsrf 標頭。
# curl -k -b session.txt -H "x-xsrf-token: 5a764b19-5ad2-4727-974d-510acbc171c8" https://<nsx-manager>/policy/api/v1/infra/segments
{ "results" : [ { "type" : "ROUTED", "subnets" : [ { "gateway_address" : "192.168.10.1/24", "network" : "192.168.10.0/24" } ], "connectivity_path" : "/infra/tier-1s/test_t1", "transport_zone_path" : "/infra/sites/default/enforcement-points/default/transport-zones/1b3a2f36-bfd1-443e-a0f6-4de01abc963e", "advanced_config" : { "address_pool_paths" : [ ], "hybrid" : false, "multicast" : true, "inter_router" : false, "local_egress" : false, "urpf_mode" : "STRICT", "connectivity" : "ON" }, "admin_state" : "UP", "replication_mode" : "MTEP", "resource_type" : "Segment", "id" : "seg1", "display_name" : "seg1", "path" : "/infra/segments/seg1", "relative_path" : "seg1", "parent_path" : "/infra", "unique_id" : "6573d2c9-f4f9-4b37-b410-71bded8857c3", "marked_for_delete" : false, "overridden" : false, "_create_user" : "admin", "_create_time" : 1633331197569, "_last_modified_user" : "admin", "_last_modified_time" : 1633331252660, "_system_owned" : false, "_protection" : "NOT_PROTECTED", "_revision" : 1 } ], "result_count" : 1, "sort_by" : "display_name", "sort_ascending" : true
如果在叢集中將相同工作階段 Cookie 與另一個節點搭配使用,命令會失敗並顯示錯誤訊息:The credentials were incorrect or the account specified has been locked.","error_code":403.
工作階段到期後,NSX Manager 將以 403 禁止 HTTP 作為回應。然後,您必須取得新的工作階段 Cookie 和 x-xsrf-token。
- 若要設定工作階段到期設定,請使用 connection_timeout API 命令。預設工作階段到期時間為 1800 秒 (30 分鐘)。
- 使用
GET https://<nsx-mgr>/api/v1/cluster/api-service
以檢視目前組態的快照。GET https://<nsx-mgr>/api/v1/cluster/api-service { "session_timeout": 1800, "connection_timeout": 30, "protocol_versions": [ { "name": "TLSv1.1", "enabled": true }, { "name": "TLSv1.2", "enabled": true } ], "cipher_suites": [ { "name": "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA", "enabled": true }, { "name": "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256", "enabled": true }, { "name": "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256", "enabled": true }, { "name": "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA", "enabled": true }, { "name": "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384", "enabled": true }, { "name": "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "enabled": true }, { "name": "TLS_RSA_WITH_AES_128_CBC_SHA", "enabled": true }, { "name": "TLS_RSA_WITH_AES_128_CBC_SHA256", "enabled": true }, { "name": "TLS_RSA_WITH_AES_128_GCM_SHA256", "enabled": true }, { "name": "TLS_RSA_WITH_AES_256_CBC_SHA", "enabled": true }, { "name": "TLS_RSA_WITH_AES_256_CBC_SHA256", "enabled": true }, { "name": "TLS_RSA_WITH_AES_256_GCM_SHA384", "enabled": true } , { "name": "TLS_ECDSA_WITH_AES_256_GCM_SHA384", "enabled": true } ], "redirect_host": "", "client_api_rate_limit": 100, "global_api_concurrency_limit": 199, "client_api_concurrency_limit": 40, "basic_authentication_enabled": true, "cookie_based_authentication_enabled": true, "resource_type": "ApiServiceConfig", "id": "reverse_proxy_config", "display_name": "reverse_proxy_config", "_create_time": 1658339081246, "_create_user": "system", "_last_modified_time": 1658339081246, "_last_modified_user": "system", "_system_owned": false, "_protection": "NOT_PROTECTED", "_revision": 0 }
- 使用所需的值來編輯 JSON,並移除
_revision
以外的所有底線欄位 (_xxxxx)。GET https://<nsx-mgr>/api/v1/cluster/api-service { "global_api_concurrency_limit": 199, "client_api_rate_limit": 100, "client_api_concurrency_limit": 40, "connection_timeout": 30, "redirect_host": "", "cipher_suites": [ {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"}, {"enabled": true, "name": "TLS_RSA_WITH_AES_256_GCM_SHA384"}, {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"}, {"enabled": true, "name": "TLS_RSA_WITH_AES_128_GCM_SHA256"} {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384}", {"enabled": true, "name": "TLS_RSA_WITH_AES_256_CBC_SHA256"}, {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA"}, {"enabled": true, "name": "TLS_RSA_WITH_AES_256_CBC_SHA"}, {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256"}, {"enabled": true, "name": "TLS_RSA_WITH_AES_128_CBC_SHA256"}, {"enabled": false, "name": "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA"}, {"enabled": true, "name": "TLS_RSA_WITH_AES_128_CBC_SHA"}, {"enabled": true, "name": "TLS_ECDSA_WITH_AES_256_GCM_SHA384"}, ], "protocol_versions": [ {"enabled": true, "name": "TLSv1.1"}, {"enabled": true, "name": "TLSv1.2"} ] "_revision": 0 }
- 使用
PUT https://<nsx-mgr>/api/v1/cluster/api-service
以修改目前組態。
- 使用
- 若要刪除工作階段 Cookie,請使用 /api/session/destroy API 命令。
curl -k -b session.txt -H "x-xsrf-token: `grep -i xsrf response.txt | awk '{print $2}'`" https://<nsx-manager>/api/v1/node/version
例如:curl -k -b session.txt -H "x-xsrf-token: `grep -i xsrf response.txt | awk '{print $2}'`" https://<nsx-manager>/api/v1/node/version
回應:{ "module_name" : "common-services", "error_message" : "The credentials were incorrect or the account specified has been locked.", "error_code" : "403" }
下一步
若要檢閱透過以工作階段為基礎的支援驗證服務對使用者進行驗證的需求,請參閱與 VMware Identity Manager/Workspace ONE Access 整合或與 LDAP 整合。