Configure o acesso à API baseado em certificado
Em vez de autenticação de ID de usuário e senha para acesso à API REST ou à API SDK de gerenciamento do NetApp ao ONTAP, a autenticação baseada em certificado deve ser usada.
Como alternativa à autenticação baseada em certificado para API REST, use "Autenticação baseada em token OAuth 2,0".) |
Você pode gerar e instalar um certificado autoassinado no ONTAP conforme descrito nestas etapas.
-
Usando OpenSSL, gere um certificado executando o seguinte comando:
openssl req -x509 -nodes -days 1095 -newkey rsa:2048 -keyout test.key -out test.pem \> -subj "/C=US/ST=NC/L=RTP/O=NetApp/CN=cert_user" Generating a 2048 bit RSA private key ..............+++ ..........................+++ writing new private key to 'test.key'
Este comando gera um certificado público nomeado
test.pem
e uma chave privada chamadakey.out
. O nome comum, CN, corresponde ao ID de usuário do ONTAP. -
Instale o conteúdo do certificado público no formato pem (Privacy Enhanced mail) no ONTAP executando o seguinte comando e colando o conteúdo do certificado quando solicitado:
security certificate install -type client-ca -vserver cluster1 Please enter Certificate: Press <Enter> when done
-
Ative o ONTAP para permitir o acesso do cliente através de SSL e definir a ID do usuário para acesso à API.
security ssl modify -vserver cluster1 -client-enabled true security login create -user-or-group-name cert_user -application ontapi -authmethod cert -role admin -vserver cluster1
No exemplo a seguir, o ID de usuário
cert_user
agora está habilitado para usar o acesso à API autenticado por certificado. Um script Python simples do SDK para gerenciamento usandocert_user
para exibir a versão do ONTAP aparece da seguinte forma:#!/usr/bin/python import sys sys.path.append("/home/admin/netapp-manageability-sdk-9.5/netapp-manageability-sdk-9.5/lib/python/NetApp") from NaServer import * cluster = "cluster1" transport = "HTTPS" port = 443 style = "CERTIFICATE" cert = "test.pem" key = "test.key" s = NaServer(cluster, 1, 30) s.set_transport_type(transport) s.set_port(port) s.set_style(style) s.set_server_cert_verification(0) s.set_client_cert_and_key(cert, key) api = NaElement("system-get-version") output = s.invoke_elem(api) if (output.results_status() == "failed"): r = output.results_reason() print("Failed: " + str(r)) sys.exit(2) ontap_version = output.child_get_string("version") print ("V: " + ontap_version)
A saída do script exibe a versão do ONTAP.
./version.py V: NetApp Release 9.5RC1: Sat Nov 10 05:13:42 UTC 2018
-
Para executar a autenticação baseada em certificado com a API REST do ONTAP, execute as seguintes etapas:
-
No ONTAP, defina a ID do usuário para acesso http:
security login create -user-or-group-name cert_user -application http -authmethod cert -role admin -vserver cluster1
-
No seu cliente Linux, execute o seguinte comando que produz a versão ONTAP como saída:
curl -k --cert-type PEM --cert ./test.pem --key-type PEM --key ./test.key -X GET "https://cluster1/api/cluster?fields=version" { "version": { "full": "NetApp Release 9.7P1: Thu Feb 27 01:25:24 UTC 2020", "generation": 9, "major": 7, "minor": 0 }, "_links": { "self": { "href": "/api/cluster" } } }
-