05API로 관리API로 관리

관리 서버에는 API Server 가 돌아, API 요청을 보내 서버를 구성·제어 할 수 있습니다. 일상 작업을 자동화하고, 가상화 서버·티켓팅·변경 관리 같은 서드파티 시스템과 Check Point를 연동 하는 스크립트를 돌립니다. API 문서는 온라인(Check Point Management API Reference)이나 로컬(https://<서버 IP>/api_docs, 기본 비활성)에서 봅니다.

API를 다루는 도구는 세 가지입니다. Gaia에 포함된 mgmt_cli, SmartConsole에 포함된 mgmt_cli.exe(다른 Windows PC로 복사 가능), 그리고 HTTP로 통신하는 Web Services API(https://<서버 IP>/web_api/<command>) 입니다.

설정은 Manage & Settings > Blades > Management API > Advanced Settings 에서 합니다. Startup(서버 시작·재부팅 시 자동 시작 — RAM 4GB 초과면 기본 활성) 과 Access(어떤 클라이언트가 접속할지) 를 정합니다.

Access는 세 단계입니다. Management server only(서버 자신만, mgmt_cli만 가능), All IP addresses that can be used for GUI clients(Trusted Clients에 정의된 IP — SmartConsole·Web·mgmt_cli), All IP addresses(모든 IP) 중에 고릅니다. 그다음 각 관리자의 Permission Profile에 Management API Login 권한 이 있는지 확인하고, 세션을 게시한 뒤 api restart 로 API Server를 재시작(Multi-Domain은 mdsenv로 컨텍스트 지정), api status 로 상태를 확인 합니다.

API key 는 API 호출 때 제시하는 토큰 으로, 사용자명/암호 대신 인증에 씁니다(이 관리자는 API 실행 전용, SmartConsole 인증에는 못 씀). Manage & Settings > Permissions & Administrators > Administrators 에서 새 관리자를 만들고, Authentication Method를 API Key 로 골라 Generate API key 한 뒤 키를 복사해 둡니다.

쓰는 방법은 간단합니다. mgmt_cli login api-key <키> 로 로그인해 토큰을 파일로 저장 한 뒤, mgmt_cli -s <토큰파일> add simple-gateway … 처럼 -s 플래그로 명령 을 실행합니다. API 키에 더해 인증서 파일을 함께 구성 하면, 관리자는 API 키나 인증서 중 하나로 인증할 수 있습니다.

mgmt_cli login api-key <api-key> > /var/tmp/token.txt
mgmt_cli -s /var/tmp/token.txt add simple-gateway name "gw1" ip-address 192.168.3.181 one-time-password "aaaa" firewall true vpn true