cisco.dnac.ise_radius_integration_workflow_manager 模块 – 身份验证和策略服务器的资源模块

注意

此模块是 cisco.dnac 集合(版本 6.25.0)的一部分。

如果您正在使用 ansible 包,您可能已经安装了此集合。它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用: ansible-galaxy collection install cisco.dnac。您需要进一步的要求才能使用此模块,请参阅 要求 以了解详细信息。

要在 playbook 中使用它,请指定: cisco.dnac.ise_radius_integration_workflow_manager

cisco.dnac 6.14.0 中的新增功能

概要

  • 管理身份验证和策略服务器上的操作。

  • 用于创建身份验证和策略服务器访问配置的 API。

  • 用于更新身份验证和策略服务器访问配置的 API。

  • 用于删除身份验证和策略服务器访问配置的 API。

要求

在执行此模块的主机上需要以下要求。

  • dnacentersdk >= 2.7.2

  • python >= 3.9

参数

参数

注释

config

列表 / 元素=字典 / 必需

正在管理的身份验证和策略服务器的详细信息列表。

authentication_policy_server

列表 / 元素=字典

管理身份验证和策略服务器。

accounting_port

整数

RADIUS 服务器的计费端口。

无法更新计费端口。

计费端口应为 1 到 65535。

默认值: 1813

authentication_port

整数

RADIUS 服务器的身份验证端口。

无法更新身份验证端口。

身份验证端口应为 1 到 65535。

默认值: 1812

cisco_ise_dtos

列表 / 元素=字典

Cisco ISE 数据传输对象 (DTO) 的列表。

当 server_type 设置为 ISE 时是必需的。

description

字符串

关于 Cisco ISE 服务器的描述。

fqdn

字符串

Cisco ISE 服务器的完全限定域名。

传递 cisco_ise_dtos 时是必需的。

ip_address

字符串

Cisco ISE 服务器的 IP 地址。

传递 cisco_ise_dtos 时是必需的。

password

字符串

Cisco ISE 服务器的密码。

密码必须有 4 到 127 个字符,没有空格或以下字符 - “<”。

传递 cisco_ise_dtos 时是必需的。

ssh_key

字符串

Cisco ISE 服务器的 SSH 密钥。

user_name

字符串

Cisco ISE 服务器的用户名。

传递 cisco_ise_dtos 时是必需的。

encryption_key

字符串

用于加密共享密钥的加密密钥。

无法更新加密方案。

当提供 encryption_scheme 时是必需的。

当选择 ASCII 格式时,加密密钥可以包含字母数字和特殊字符。密钥长度必须为 16 个字符。

encryption_scheme

字符串

用于增强安全性的加密方案类型。

如果提供了加密方案,则需要消息身份验证器代码和加密密钥。

无法更新加密方案。

KEYWRAP 用于安全地包装和解包加密密钥,确保其在传输或存储期间的机密性。

RADSEC 是 RADIUS 的扩展,它通过 TLS/SSL 提供 RADIUS 客户端和服务器之间的安全通信。增强身份验证和计费数据交换的机密性和完整性。

选项

  • "KEYWRAP"

  • "RADSEC"

external_cisco_ise_ip_addr_dtos

列表 / 元素=字典

供将来使用的外部 Cisco ISE IP 地址数据传输对象。

external_cisco_ise_ip_addresses

列表 / 元素=字典

外部 Cisco ISE IP 地址。

external_ip_address

字符串

外部 Cisco ISE IP 地址。

ise_type

字符串

身份验证和策略服务器的类型。

ise_integration_wait_time

整数

指示启动 Cisco ISE 集成过程后的睡眠时间。

最大睡眠时间应小于或等于 120 秒。

默认值: 20

message_authenticator_code_key

字符串

用于加密共享密钥的消息密钥。

无法更新消息密钥。

当提供 encryption_scheme 时是必需的。

消息身份验证代码密钥可以包含字母数字和特殊字符。密钥长度必须为 20 个字符。

protocol

字符串

身份验证和策略服务器的协议类型。

RADIUS 为远程访问场景中的用户提供集中式服务 (AAA)。

TACACS 侧重于网络设备的访问控制和管理身份验证。

选项

  • "TACACS"

  • "RADIUS" ← (默认)

  • "RADIUS_TACACS"

pxgrid_enabled

布尔值

设置为 True 以启用 Pxgrid,设置为 False 以禁用 Pxgrid。

Pxgrid 仅适用于 Cisco ISE 服务器。

PxGrid 促进跨产品的无缝集成和信息共享,增强网络生态系统内的威胁检测和响应能力。

选项

  • false

  • true ← (默认)

retries

整数

设备与身份验证和策略服务器之间的通信重试次数。

重试次数应为 1 到 3。

默认值: 3

role

字符串

身份验证和策略服务器的角色。

无法更新角色

默认值: "secondary"

server_ip_address

字符串 / 必填

身份验证和策略服务器的 IP 地址。

server_type

字符串

身份验证和策略服务器的类型。

Cisco ISE 服务器使用 ISE。

非 Cisco ISE 服务器使用 AAA。

选项

  • "AAA" ← (默认)

  • "ISE"

shared_secret

字符串

设备与身份验证和策略服务器之间的共享密钥。

共享密钥必须包含 4 到 100 个字符,且不能包含空格或以下字符 - [”<”, “?”]。

共享密钥是只读参数。

timeout

整数

设备与身份验证和策略服务器之间超时前的秒数。

超时时间应为 2 到 20 秒。

默认值: 4

trusted_server

布尔值

指示服务器的证书是否可信。

在安全连接中用作验证其真实性和可靠性的凭证。

选项

  • false

  • true ← (默认)

use_dnac_cert_for_pxgrid

布尔值

设置为 True 以使用 Cisco Catalyst Center 证书进行 Pxgrid。

选项

  • false ← (默认)

  • true

config_verify

布尔值

设置为 True 以在应用 playbook 配置后验证 Cisco Catalyst Center。

选项

  • false ← (默认)

  • true

dnac_api_task_timeout

整数

定义用于检索任务详细信息的 API 调用的超时时间(以秒为单位)。如果在此期间未收到任务详细信息,该过程将结束,并且会记录超时通知。

默认值: 1200

dnac_debug

布尔值

指示是否在 Cisco Catalyst Center SDK 中启用了调试。

选项

  • false ← (默认)

  • true

dnac_host

字符串 / 必填

Cisco Catalyst Center 的主机名。

dnac_log

布尔值

启用/禁用 playbook 执行日志记录的标志。

当为 true 且提供了 dnac_log_file_path 时 - 在执行位置创建具有指定名称的日志文件。

当为 true 且未提供 dnac_log_file_path 时 - 在执行位置创建名为 ‘dnac.log’ 的日志文件。

当为 false 时 - 禁用日志记录。

如果日志文件不存在 - 则根据“dnac_log_append”标志以追加或写入模式创建它。

如果日志文件存在 - 则根据“dnac_log_append”标志覆盖或追加它。

选项

  • false ← (默认)

  • true

dnac_log_append

布尔值

确定文件的模式。设置为 True 表示 ‘append’ 模式。设置为 False 表示 ‘write’ 模式。

选项

  • false

  • true ← (默认)

dnac_log_file_path

字符串

控制日志记录。如果 dnac_log 为 True,则记录日志。

如果未指定路径 - 当 ‘dnac_log_append’ 为 True 时,在当前 Ansible 目录中生成 ‘dnac.log’;日志被追加。- 当 ‘dnac_log_append’ 为 False 时,生成 ‘dnac.log’;日志被覆盖。

如果指定了路径 - 当 ‘dnac_log_append’ 为 True 时,该文件以追加模式打开。- 当 ‘dnac_log_append’ 为 False 时,该文件以写入 (w) 模式打开。- 在共享文件场景中,如果没有追加模式,则每次模块执行后都会覆盖内容。- 对于共享日志文件,请将第一个模块的追加设置为 False(以覆盖);对于后续模块,请将追加设置为 True。

默认值: "dnac.log"

dnac_log_level

字符串

设置日志级别的阈值。将记录级别等于或高于此级别的消息。级别按严重性顺序列出 [CRITICAL, ERROR, WARNING, INFO, DEBUG]。

CRITICAL 表示严重错误,导致程序停止。仅显示 CRITICAL 消息。

ERROR 表示阻止功能的问题。显示 ERROR 和 CRITICAL 消息。

WARNING 表示潜在的未来问题。显示 WARNING、ERROR 和 CRITICAL 消息。

INFO 跟踪正常操作。显示 INFO、WARNING、ERROR 和 CRITICAL 消息。

DEBUG 提供详细的诊断信息。显示所有日志消息。

默认值: "WARNING"

dnac_password

字符串

用于在 Cisco Catalyst Center 进行身份验证的密码。

dnac_port

字符串

指定与 Cisco Catalyst Center 关联的端口号。

默认值: "443"

dnac_task_poll_interval

整数

指定连续调用 API 以检索任务详细信息之间的间隔(以秒为单位)。

默认值: 2

dnac_username

别名: user

字符串

用于在 Cisco Catalyst Center 进行身份验证的用户名。

默认值: "admin"

dnac_verify

布尔值

启用或禁用 SSL 证书验证的标志。

选项

  • false

  • true ← (默认)

dnac_version

字符串

指定 SDK 应使用的 Cisco Catalyst Center 版本。

默认值: "2.2.3.3"

state

字符串

模块完成后 Cisco Catalyst Center 的状态。

选项

  • "merged" ← (默认)

  • "deleted"

validate_response_schema

布尔值

Cisco Catalyst Center SDK 的标志,用于启用针对 JSON 模式验证请求正文。

选项

  • false

  • true ← (默认)

注释

注意

  • 使用的 SDK 方法是 system_settings.SystemSettings.add_authentication_and_policy_server_access_configuration、system_settings.SystemSettings.edit_authentication_and_policy_server_access_configuration、system_settings.SystemSettings.accept_cisco_ise_server_certificate_for_cisco_ise_server_integration、system_settings.SystemSettings.delete_authentication_and_policy_server_access_configuration、system_settings.SystemSettings.get_authentication_and_policy_servers、system_settings.SystemSettings.cisco_ise_server_integration_status

  • 使用的路径是 post /dna/intent/api/v1/authentication-policy-servers、put /dna/intent/api/v1/authentication-policy-servers/${id}、put /dna/intent/api/v1/integrate-ise/${id}、delete /dna/intent/api/v1/authentication-policy-servers/${id}、get /dna/intent/api/v1/authentication-policy-servers、get /dna/intent/api/v1/ise-integration-status

  • 不支持 check_mode

  • 该插件在控制节点上运行,不使用任何 ansible 连接插件,而是使用 Cisco Catalyst Center SDK 中的嵌入式连接管理器

  • 以 dnac_ 开头的参数由 Cisco Catalyst Center Python SDK 用于建立连接

示例

- name: Create an AAA server.
  cisco.dnac.ise_radius_integration_workflow_manager:
    dnac_host: "{{dnac_host}}"
    dnac_username: "{{dnac_username}}"
    dnac_password: "{{dnac_password}}"
    dnac_verify: "{{dnac_verify}}"
    dnac_port: "{{dnac_port}}"
    dnac_version: "{{dnac_version}}"
    dnac_debug: "{{dnac_debug}}"
    dnac_log: True
    dnac_log_level: "{{ dnac_log_level }}"
    state: merged
    config_verify: True
    config:
    - authentication_policy_server:
      - server_type: AAA
        server_ip_address: 10.0.0.1
        shared_secret: "12345"
        protocol: RADIUS_TACACS
        encryption_scheme: KEYWRAP
        encryption_key: "1234567890123456"
        message_authenticator_code_key: asdfghjklasdfghjklas
        authentication_port: 1812
        accounting_port: 1813
        retries: 3
        timeout: 4
        role: secondary

- name: Create an Cisco ISE server.
  cisco.dnac.ise_radius_integration_workflow_manager:
    dnac_host: "{{dnac_host}}"
    dnac_username: "{{dnac_username}}"
    dnac_password: "{{dnac_password}}"
    dnac_verify: "{{dnac_verify}}"
    dnac_port: "{{dnac_port}}"
    dnac_version: "{{dnac_version}}"
    dnac_debug: "{{dnac_debug}}"
    dnac_log: True
    dnac_log_level: "{{ dnac_log_level }}"
    state: merged
    config_verify: True
    config:
    - authentication_policy_server:
      - server_type: ISE
        server_ip_address: 10.0.0.2
        shared_secret: "12345"
        protocol: RADIUS_TACACS
        encryption_scheme: KEYWRAP
        encryption_key: "1234567890123456"
        message_authenticator_code_key: asdfghjklasdfghjklas
        authentication_port: 1812
        accounting_port: 1813
        retries: 3
        timeout: 4
        role: primary
        use_dnac_cert_for_pxgrid: False
        pxgrid_enabled: True
        cisco_ise_dtos:
        - user_name: Cisco ISE
          password: "12345"
          fqdn: abs.cisco.com
          ip_address: 10.0.0.2
          description: Cisco ISE
        trusted_server: True
        ise_integration_wait_time: 20

- name: Update an AAA server.
  cisco.dnac.ise_radius_integration_workflow_manager:
    dnac_host: "{{dnac_host}}"
    dnac_username: "{{dnac_username}}"
    dnac_password: "{{dnac_password}}"
    dnac_verify: "{{dnac_verify}}"
    dnac_port: "{{dnac_port}}"
    dnac_version: "{{dnac_version}}"
    dnac_debug: "{{dnac_debug}}"
    dnac_log: True
    dnac_log_level: "{{ dnac_log_level }}"
    state: merged
    config_verify: True
    config:
    - authentication_policy_server:
      - server_type: AAA
        server_ip_address: 10.0.0.1
        protocol: RADIUS_TACACS
        retries: 3
        timeout: 5

- name: Update an Cisco ISE server.
  cisco.dnac.ise_radius_integration_workflow_manager:
    dnac_host: "{{dnac_host}}"
    dnac_username: "{{dnac_username}}"
    dnac_password: "{{dnac_password}}"
    dnac_verify: "{{dnac_verify}}"
    dnac_port: "{{dnac_port}}"
    dnac_version: "{{dnac_version}}"
    dnac_debug: "{{dnac_debug}}"
    dnac_log: True
    dnac_log_level: "{{ dnac_log_level }}"
    state: merged
    config_verify: True
    config:
    - authentication_policy_server:
      - server_type: ISE
        server_ip_address: 10.0.0.2
        protocol: RADIUS_TACACS
        retries: 3
        timeout: 5
        use_dnac_cert_for_pxgrid: False
        pxgrid_enabled: True
        cisco_ise_dtos:
        - user_name: Cisco ISE
          password: "12345"
          fqdn: abs.cisco.com
          ip_address: 10.0.0.2
          description: Cisco ISE

- name: Delete an Authentication and Policy server.
  cisco.dnac.ise_radius_integration_workflow_manager:
    dnac_host: "{{dnac_host}}"
    dnac_username: "{{dnac_username}}"
    dnac_password: "{{dnac_password}}"
    dnac_verify: "{{dnac_verify}}"
    dnac_port: "{{dnac_port}}"
    dnac_version: "{{dnac_version}}"
    dnac_debug: "{{dnac_debug}}"
    dnac_log: True
    dnac_log_level: "{{ dnac_log_level }}"
    state: deleted
    config_verify: True
    config:
    - authentication_policy_server:
      - server_ip_address: 10.0.0.1

返回值

常用返回值记录在此处,以下是此模块特有的字段

描述

response_1

字典

包含 Cisco Catalyst Center Python SDK 返回的响应的字典或列表

返回: 始终

示例: {"response": {"taskId": "string", "url": "string"}, "version": "string"}

response_2

字典

包含 Cisco Catalyst Center Python SDK 返回的响应的字典或列表

返回: 始终

示例: {"response": {"taskId": "string", "url": "string"}, "version": "string"}

response_3

字典

包含 Cisco Catalyst Center Python SDK 返回的响应的字典或列表

返回: 始终

示例: {"response": {"taskId": "string", "url": "string"}, "version": "string"}

作者

  • Muthu Rakesh (@MUTHU-RAKESH-27) Madhan Sankaranarayanan (@madhansansel)