check_point.mgmt.cp_mgmt_domain_permissions_profile 模块 – 通过 Web Services API 管理 Checkpoint 上的域权限配置文件对象

注意

此模块是 check_point.mgmt 集合(版本 6.2.1)的一部分。

如果您正在使用 ansible 包,您可能已经安装了这个集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install check_point.mgmt

要在 playbook 中使用它,请指定:check_point.mgmt.cp_mgmt_domain_permissions_profile

check_point.mgmt 3.0.0 中的新增功能

概要

  • 管理 Checkpoint 设备上的域权限配置文件对象,包括创建、更新和删除对象。

  • 所有操作都通过 Web Services API 执行。

参数

参数

注释

access_control

字典

访问控制权限。<br>只有“自定义”权限类型配置文件才能编辑这些权限。

access_control_objects_and_settings

字符串

允许编辑以下对象类型:VPN 社区、访问角色、自定义应用程序组、自定义应用程序、自定义类别、限制、应用程序 - 匹配设置、应用程序类别 - 匹配设置、覆盖分类、应用程序和 URL 过滤策略 - 高级设置、内容感知策略 - 高级设置。

选择

  • "read"

  • "write"

  • "disabled"

app_control_and_url_filtering_update

布尔值

安装应用程序和 URL 过滤更新。

选择

  • false

  • true

dlp_policy

字符串

配置 DLP 规则和策略。

选择

  • "read"

  • "write"

  • "disabled"

geo_control_policy

字符串

使用控制进出指定国家的流量的访问控制规则。

选择

  • "read"

  • "write"

  • "disabled"

install_policy

布尔值

安装访问控制策略。

选择

  • false

  • true

nat_policy

字符串

在访问控制规则中使用 NAT。

选择

  • "read"

  • "write"

  • "disabled"

policy_layers

字典

层编辑权限。<br>仅当 show-policy 设置为 true 时可用。

app_control_and_url_filtering

布尔值

在访问控制规则中使用应用程序和 URL 过滤。<br>仅当 edit-layers 设置为“按软件刀片”时可用。

选择

  • false

  • true

content_awareness

布尔值

在访问控制规则中使用指定的数据类型。<br>仅当 edit-layers 设置为“按软件刀片”时可用。

选择

  • false

  • true

edit_layers

字符串

“按软件刀片” - 编辑包含权限配置文件中启用的刀片的访问控制层。<br>“在层编辑器中按选定配置文件” - 只有当访问控制层编辑器向其配置文件授予编辑权限时,管理员才能编辑该层。

选择

  • "按 软件 刀片"

  • "在 编辑器中按 选定 配置文件"

firewall

布尔值

使用访问控制和其他没有自己的策略的软件刀片。<br>仅当 edit-layers 设置为“按软件刀片”时可用。

选择

  • false

  • true

mobile_access

布尔值

使用移动访问规则。<br>仅当 edit-layers 设置为“按软件刀片”时可用。

选择

  • false

  • true

qos_policy

字符串

使用 QoS 策略和规则。

选择

  • "read"

  • "write"

  • "disabled"

show_policy

布尔值

选择允许管理员使用访问控制规则和 NAT 规则。如果未选择,则管理员无法看到这些规则。

选择

  • false

  • true

auto_publish_session

布尔值

如果任务完成后执行了更改,则发布当前会话。

选择

  • false ← (默认)

  • true

color

字符串

对象的颜色。应为现有颜色之一。

选择

  • "水绿色"

  • "黑色"

  • "蓝色"

  • "克里特 蓝色"

  • "原木色"

  • "青色"

  • "深 绿色"

  • "卡其色"

  • "兰花色"

  • "深 橙色"

  • "深 绿色"

  • "粉色"

  • "绿松石色"

  • "深 蓝色"

  • "耐火砖色"

  • "棕色"

  • "森林 绿色"

  • "金色"

  • "深 金色"

  • "灰色"

  • "深 灰色"

  • "浅 绿色"

  • "柠檬 雪纺"

  • "珊瑚色"

  • "海 绿色"

  • "天 蓝色"

  • "洋红色"

  • "紫色"

  • "板岩 蓝色"

  • "紫罗兰 红色"

  • "海军 蓝色"

  • "橄榄色"

  • "橙色"

  • "红色"

  • "赭色"

  • "黄色"

comments

字符串

注释字符串。

details_level

字符串

响应中某些字段的详细程度可能不同,从仅显示对象的 UID 值到对象的完整详细表示。

选择

  • "uid"

  • "标准"

  • "完整"

edit_common_objects

布尔值

定义和管理 Check Point 数据库中的对象、网络对象、服务、自定义应用程序站点、VPN 社区、用户、服务器、资源、时间、UserCheck 和限制。<br>只有“自定义”权限类型配置文件才能编辑此权限。

选择

  • false

  • true

endpoint

字典

端点权限。不支持多域服务器。<br>只有“自定义”权限类型配置文件才能编辑这些权限。

allow_executing_push_operations

布尔值

管理员可以启动安全管理服务器直接推送给客户端计算机的操作,无需安装策略。

选择

  • false

  • true

authorize_preboot_users

布尔值

管理员可以添加和删除允许登录具有全盘加密的端点安全客户端计算机的用户。

选择

  • false

  • true

edit_endpoint_policies

布尔值

仅当 manage-policies-and-software-deployment 设置为 true 时可用。

选择

  • false

  • true

edit_software_deployment

布尔值

管理员可以定义部署规则、创建导出包和配置高级包设置。<br>仅当 manage-policies-and-software-deployment 设置为 true 时可用。

选择

  • false

  • true

manage_policies_and_software_deployment

布尔值

管理员可以使用策略、规则和操作。

选择

  • false

  • true

policies_installation

布尔值

管理员可以在端点计算机上安装策略。

选择

  • false

  • true

recovery_media

布尔值

管理员可以在端点计算机和设备上创建恢复介质。

选择

  • false

  • true

remote_help

布尔值

管理员可以使用远程帮助功能重置用户密码并授予锁定用户的访问权限。

选择

  • false

  • true

reset_computer_data

布尔值

管理员可以重置计算机,这会从安全管理服务器中删除有关该计算机的所有信息。

选择

  • false

  • true

software_deployment_installation

布尔值

管理员可以部署软件包并安装端点客户端。

选择

  • false

  • true

events_and_reports

字典

事件和报告权限。<br>只有“自定义”权限类型配置文件才能编辑这些权限。

events

字符串

在“事件”选项卡上使用事件查询。创建自定义事件查询。<br>仅当 smart-event 设置为“自定义”时可用。

选择

  • "read"

  • "write"

  • "disabled"

policy

字符串

配置 SmartEvent 策略规则并安装 SmartEvent 策略。<br>仅当 smart-event 设置为“自定义”时可用。

选择

  • "read"

  • "write"

  • "disabled"

报告

布尔值

创建和运行 SmartEvent 报告。<br>仅当 smart-event 设置为“自定义”时可用。

选择

  • false

  • true

smart_event

字符串

“自定义” - 配置 SmartEvent 权限。

选择

  • “custom”

  • “app control and url filtering reports only”

网关

字典

网关权限。<br>只有“自定义”权限类型的配置文件才能编辑这些权限。

lsm_gw_db

字符串

访问在 LSM 网关表中定义的对象。这些对象在 SmartProvisioning GUI 或 LSMcli 命令行中进行管理。<br>请注意,lsm-gw-db 上的“写入”权限允许管理员在专家模式下在 SmartLSM 网关上运行脚本。

选择

  • "read"

  • "write"

  • "disabled"

manage_provisioning_profiles

字符串

管理员可以添加、编辑、删除和分配配置配置文件给网关(LSM 和非 LSM)。<br>仅当 lsm-gw-db 设置为“写入”权限时才可编辑。<br>请注意,lsm-gw-db 上的“读取”权限会启用 manage-provisioning-profiles 的“读取”权限。

选择

  • "read"

  • "write"

  • "disabled"

manage_repository_scripts

字符串

在存储库中添加、更改和删除脚本。

选择

  • "read"

  • "write"

  • "disabled"

open_shell

布尔值

使用 SmartConsole CLI 运行命令。

选择

  • false

  • true

run_one_time_script

布尔值

从命令行运行用户脚本。

选择

  • false

  • true

run_repository_script

布尔值

从存储库运行脚本。

选择

  • false

  • true

smart_update

字符串

安装、更新和删除 Check Point 许可证。这包括使用 SmartUpdate 管理许可证的权限。

选择

  • "read"

  • "write"

  • "disabled"

system_backup

布尔值

备份安全网关。

选择

  • false

  • true

system_restore

布尔值

从保存的备份恢复安全网关。

选择

  • false

  • true

vsx_provisioning

布尔值

创建和配置虚拟系统和其他 VSX 虚拟对象。

选择

  • false

  • true

ignore_errors

布尔值

应用更改时忽略错误。您将无法发布此类更改。如果省略了 ignore-warnings 标志,也会忽略警告。

选择

  • false

  • true

ignore_warnings

布尔值

应用更改时忽略警告。

选择

  • false

  • true

management

字典

管理权限。

approve_or_reject_sessions

布尔值

批准/拒绝其他会话。

选择

  • false

  • true

cme_operations

字符串

读取/编辑云管理扩展 (CME) 配置的权限。<br>不支持多域服务器。

选择

  • "read"

  • "write"

  • "disabled"

high_availability_operations

布尔值

配置和使用域高可用性。<br>只有“自定义”权限类型的配置文件才能编辑此权限。

选择

  • false

  • true

manage_admins

布尔值

控制管理管理员、权限配置文件、受信任客户端、API 设置和策略设置的能力。<br>只有“读写全部”权限类型的配置文件才能编辑此权限。<br>不支持多域服务器。

选择

  • false

  • true

manage_integration_with_cloud_services

布尔值

管理与云服务的集成。

选择

  • false

  • true

manage_sessions

布尔值

允许您断开连接、放弃、发布或接管其他管理员会话。<br>只有“读写全部”权限类型的配置文件才能编辑此权限。

选择

  • false

  • true

management_api_login

布尔值

使用这些工具、mgmt_cli(Linux 和 Windows 二进制文件)、Gaia CLI (clish) 和 Web 服务 (REST) 登录安全管理服务器并运行 API 命令的权限。如果您想阻止管理员在管理上运行自动脚本,这将很有用。<br>请注意,不需要此权限即可从 SmartConsole 中的 API 终端内运行命令。<br>不支持多域服务器。

选择

  • false

  • true

publish_sessions

布尔值

允许在无需批准的情况下发布会话。

选择

  • false

  • true

monitoring_and_logging

字典

监视和日志记录权限。<br>“自定义”权限类型的配置文件可以编辑所有这些权限。“读写全部”权限类型只能编辑 dlp-logs-including-confidential-fields 和 manage-dlp-messages 权限。

app_and_url_filtering_logs

布尔值

使用应用程序和 URL 过滤日志。

选择

  • false

  • true

dlp_logs_including_confidential_fields

布尔值

显示包含机密字段的 DLP 日志。

选择

  • false

  • true

https_inspection_logs

布尔值

查看 HTTPS 检查生成的日志。

选择

  • false

  • true

identities

布尔值

在日志中显示用户和计算机身份信息。

选择

  • false

  • true

manage_dlp_messages

布尔值

查看/释放/丢弃 DLP 消息。<br>仅当 dlp-logs-including-confidential-fields 设置为 true 时可用。

选择

  • false

  • true

management_logs

字符串

查看多域服务器审计日志。

选择

  • "read"

  • "write"

  • "disabled"

monitoring

字符串

查看监视视图和报告。

选择

  • "read"

  • "write"

  • "disabled"

packet_capture_and_forensics

布尔值

查看 IPS 和取证功能生成的日志。

选择

  • false

  • true

show_identities_by_default

布尔值

默认在日志中显示用户和计算机身份信息。

选择

  • false

  • true

show_packet_capture_by_default

布尔值

默认启用数据包捕获。

选择

  • false

  • true

track_logs

字符串

在 SmartConsole 中使用日志跟踪功能。

选择

  • "read"

  • "write"

  • "disabled"

name

字符串 / 必需

对象名称。

others

字典

其他权限。<br>只有“自定义”权限类型的配置文件才能编辑这些权限。

client_certificates

布尔值

为移动访问创建和管理客户端证书。

选择

  • false

  • true

edit_cp_users_db

布尔值

使用用户帐户和组。

选择

  • false

  • true

https_inspection

字符串

启用和配置 HTTPS 检查规则。

选择

  • "read"

  • "write"

  • "disabled"

ldap_users_db

字符串

使用 LDAP 数据库以及用户帐户、组和 OU。

选择

  • "read"

  • "write"

  • "disabled"

user_authority_access

字符串

使用 Check Point 用户授权身份验证。

选择

  • "read"

  • "write"

  • "disabled"

user_device_mgmt_conf

字符串

提供对基于 Web 的 UDM(用户和设备管理)应用程序的访问权限,该应用程序处理“自带设备” (BYOD) 工作区中的安全挑战。

选择

  • "read"

  • "write"

  • "disabled"

permission_type

字符串

权限配置文件的类型。

选择

  • “read write all”

  • “read only all”

  • "customized"

state

字符串

访问规则的状态(存在或不存在)。

选择

  • “present” ← (默认)

  • "absent"

tags

列表 / 元素=字符串

标签标识符的集合。

threat_prevention

字典

威胁防御权限。<br>只有“自定义”权限类型的配置文件才能编辑这些权限。

edit_layers

字符串

“全部” - 授予编辑所有图层的权限。<br>“按图层编辑器中选定的配置文件” - 只有当威胁防御图层编辑器向其配置文件授予编辑权限时,管理员才能编辑图层。<br>仅当 policy-layers 设置为“写入”时可用。

选择

  • "在 编辑器中按 选定 配置文件"

  • "All"

edit_settings

布尔值

使用常规威胁防御设置。

选择

  • false

  • true

install_policy

布尔值

安装策略。

选择

  • false

  • true

ips_update

布尔值

更新 IPS 防护。<br>请注意,您不必登录用户中心即可接收 IPS 更新。

选择

  • false

  • true

policy_exceptions

字符串

配置威胁防御规则的例外情况。<br>请注意,要使用 policy-exceptions,您必须设置 protections 权限。

选择

  • "read"

  • "write"

  • "disabled"

policy_layers

字符串

配置威胁防御策略规则。<br>请注意,要拥有 policy-layers 权限,您必须设置 policy-exceptions 和 profiles 权限。要拥有 policy-layers 的“写入”权限,policy-exceptions 也必须设置为“写入”权限。

选择

  • "read"

  • "write"

  • "disabled"

profiles

字符串

配置威胁防御配置文件。

选择

  • "read"

  • "write"

  • "disabled"

protections

字符串

使用恶意软件防护。

选择

  • "read"

  • "write"

  • "disabled"

version

字符串

检查点的版本。如果未给出,则取最新的版本。

wait_for_task

布尔值

等待任务结束。例如发布任务。

选择

  • false

  • true ← (默认)

wait_for_task_timeout

整数

等待多长时间(以分钟为单位)才引发超时错误。

默认值: 30

示例

- name: add-domain-permissions-profile
  cp_mgmt_domain_permissions_profile:
    name: customized profile
    state: present

- name: set-domain-permissions-profile
  cp_mgmt_domain_permissions_profile:
    access_control:
      policy_layers: By Selected Profile In A Layer Editor
    name: read profile
    permission_type: customized
    state: present

- name: delete-domain-permissions-profile
  cp_mgmt_domain_permissions_profile:
    name: profile
    state: absent

返回值

常见的返回值记录在此处,以下是此模块独有的字段

描述

cp_mgmt_domain_permissions_profile

字典

创建或更新的检查点对象。

返回:总是,删除对象时除外。

作者

  • Eden Brillant (@chkp-edenbr)