dellemc.openmanage.ome_application_security_settings 模块 – 配置登录安全属性

注意

此模块是 dellemc.openmanage 集合(版本 9.9.0)的一部分。

如果您正在使用 ansible 包,则可能已经安装了此集合。 它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用: ansible-galaxy collection install dellemc.openmanage。您需要其他要求才能使用此模块,请参阅要求了解详细信息。

要在 Playbook 中使用它,请指定: dellemc.openmanage.ome_application_security_settings

dellemc.openmanage 4.4.0 中的新功能

概要

  • 此模块允许您在 OpenManage Enterprise 或 OpenManage Enterprise Modular 上配置登录安全属性

要求

在执行此模块的主机上需要满足以下要求。

  • python >= 3.9.6

参数

参数

注释

ca_path

路径

在 dellemc.openmanage 5.0.0 中添加

包含用于验证的 CA 证书的隐私增强邮件 (PEM) 文件。

fips_mode_enable

布尔值

FIPS 模式旨在满足 FIPS 140-2 1 级要求。有关更多信息,请参阅 FIPS 用户指南

这仅适用于 OpenManage Enterprise Modular

它与 *restrict_allowed_ip_range* 和 *login_lockout_policy* 互斥。

警告 启用或禁用此选项会将您的机箱重置为默认设置。这可能会导致 IP 设置更改和网络连接丢失。

警告 在多机箱管理配置中,无法在主导机箱上启用 FIPS 模式。 要在主导机箱上切换启用 FIPS,请删除机箱组,启用 FIPS 并重新创建该组。

警告 对于独立或成员机箱,启用 FIPS 模式会删除创建的所有光纤网。这可能会导致网络连接丢失以及计算刀片的连接数据路径丢失。

选项

  • false

  • true

hostname

字符串 / 必需

OpenManage Enterprise 或 OpenManage Enterprise Modular IP 地址或主机名。

job_wait

布尔值

提供等待作业完成的选项。

选项

  • false

  • true ← (默认)

job_wait_timeout

整数

job_wait 的最大等待时间(以秒为单位)。 仅在此持续时间内跟踪作业。

此选项在 job_waittrue 时适用。

默认值: 120

login_lockout_policy

字典

在多次登录尝试失败后锁定应用程序。

它与 *fips_mode_enable* 互斥。

by_ip_address

布尔值

根据 IP 地址启用或禁用锁定策略设置。这限制了在特定时间间隔内从特定 IP 地址进行的失败登录尝试次数。

选项

  • false

  • true

by_user_name

布尔值

根据用户名启用或禁用锁定策略设置。这限制了在特定时间间隔内从特定用户进行的失败登录尝试次数。

选项

  • false

  • true

lockout_fail_count

整数

允许的失败登录尝试次数,之后设备会阻止从特定用户名或 IP 地址登录。

lockout_fail_window

整数

锁定失败窗口是必须在其中发生锁定失败计数事件以触发锁定惩罚时间的时间(以秒为单位)。输入 OpenManage Enterprise 必须显示有关失败尝试的信息的持续时间。

lockout_penalty_time

整数

必须不允许来自特定用户或 IP 地址的登录尝试的时间长度(以秒为单位)。

password

字符串

OpenManage Enterprise 或 OpenManage Enterprise Modular 密码。

如果未提供密码,则使用环境变量 OME_PASSWORD

示例:export OME_PASSWORD=password

port

整数

OpenManage Enterprise 或 OpenManage Enterprise Modular HTTPS 端口。

默认值: 443

restrict_allowed_ip_range

字典

限制为仅允许来自指定 IP 地址范围的入站连接。

它与 *fips_mode_enable* 互斥。

注意 当在设备上配置 *restrict_allowed_ip_range* 时,从指定 IP 地址范围之外的设备到设备的任何入站连接(例如警报接收、固件更新和网络标识)都将被阻止。但是,来自设备的任何出站连接都可以在所有设备上工作。

enable_ip_range

布尔值 / 必需

允许基于 IP 地址范围的连接。

选项

  • false

  • true

ip_range

字符串

无类别域间路由 (CIDR) 格式的 IP 地址范围。 例如:192.168.100.14/24 或 2001:db8::/24

timeout

整数

在 dellemc.openmanage 5.0.0 中添加

套接字级别的超时时间(以秒为单位)。

默认值: 30

username

字符串

OpenManage Enterprise 或 OpenManage Enterprise Modular 用户名。

如果未提供用户名,则使用环境变量 OME_USERNAME

示例:export OME_USERNAME=username

validate_certs

布尔值

在 dellemc.openmanage 5.0.0 中添加

如果为 false,则不会验证 SSL 证书。

仅在个人控制的使用自签名证书的站点上配置 false

在集合版本 5.0.0 之前,validate_certs 默认为 false

选项

  • false

  • true ← (默认)

x_auth_token

字符串

在 dellemc.openmanage 9.3.0 中添加

身份验证令牌。

如果未提供 x_auth_token,则使用环境变量 OME_X_AUTH_TOKEN

示例:export OME_X_AUTH_TOKEN=x_auth_token

注释

注意

  • 从可以直接访问 Dell OpenManage Enterprise 或 OpenManage Enterprise Modular 的系统运行此模块。

  • 此模块支持 check_mode

示例

---
- name: Configure restricted allowed IP range
  dellemc.openmanage.ome_application_security_settings:
    hostname: "192.168.0.1"
    username: "username"
    password: "password"
    ca_path: "/path/to/ca_cert.pem"
    restrict_allowed_ip_range:
      enable_ip_range: true
      ip_range: 192.1.2.3/24

- name: Configure login lockout policy
  dellemc.openmanage.ome_application_security_settings:
    hostname: "192.168.0.1"
    username: "username"
    password: "password"
    ca_path: "/path/to/ca_cert.pem"
    login_lockout_policy:
      by_user_name: true
      by_ip_address: true
      lockout_fail_count: 3
      lockout_fail_window: 30
      lockout_penalty_time: 900

- name: Configure restricted allowed IP range and login lockout policy with job wait time out of 60 seconds
  dellemc.openmanage.ome_application_security_settings:
    hostname: "192.168.0.1"
    username: "username"
    password: "password"
    ca_path: "/path/to/ca_cert.pem"
    restrict_allowed_ip_range:
      enable_ip_range: true
      ip_range: 192.1.2.3/24
    login_lockout_policy:
      by_user_name: true
      by_ip_address: true
      lockout_fail_count: 3
      lockout_fail_window: 30
      lockout_penalty_time: 900
    job_wait_timeout: 60

- name: Enable FIPS mode
  dellemc.openmanage.ome_application_security_settings:
    hostname: "192.168.0.1"
    username: "username"
    password: "password"
    ca_path: "/path/to/ca_cert.pem"
    fips_mode_enable: true

返回值

常用返回值记录在此处,以下是此模块特有的字段

描述

error_info

字典

http 错误的详细信息。

返回:发生 http 错误时

示例:{"error": {"@Message.ExtendedInfo": [{"Message": "无法处理请求,因为无法检索域信息。", "MessageArgs": [], "MessageId": "CGEN8007", "RelatedProperties": [], "Resolution": "验证数据库和域配置的状态,然后重试操作。", "Severity": "严重"}], "code": "Base.1.0.GeneralError", "message": "发生了一个常规错误。请参阅 ExtendedInfo 获取更多信息。"}}

job_id

整数

安全配置任务的作业 ID。

返回:当提供安全配置属性时

示例: 10123

msg

字符串

登录安全配置的总体状态。

返回:始终

示例:"成功应用安全设置。"

作者

  • Jagadeesh N V(@jagadeeshnv)