fortinet.fortimanager.fmgr_system_csf 模块 – 将此设备添加到安全 Fabric 或在此设备上设置新的安全 Fabric。

注意

此模块是 fortinet.fortimanager 集合(版本 2.8.2)的一部分。

如果您正在使用 ansible 包,您可能已经安装了此集合。它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install fortinet.fortimanager

要在 playbook 中使用它,请指定:fortinet.fortimanager.fmgr_system_csf

fortinet.fortimanager 2.3.0 中的新增功能

概要

  • 此模块能够配置 FortiManager 设备。

  • 示例包括所有参数和值,这些参数和值需要在使用前调整为数据源。

参数

参数

注释

access_token

字符串

在不使用用户名和密码的情况下访问 FortiManager 的令牌。

bypass_validation

布尔值

仅当模块架构与 FortiManager API 结构不同时才设置为 True,模块将继续执行而不验证参数。

选项

  • false ← (默认)

  • true

enable_log

布尔值

启用/禁用任务日志记录。

选项

  • false ← (默认)

  • true

forticloud_access_token

字符串

使用 forticloud API 访问令牌对 Ansible 客户端进行身份验证。

proposed_method

字符串

底层 Json RPC 请求的被覆盖方法。

选项

  • "update"

  • "set"

  • "add"

rc_failed

列表 / 元素=整数

将覆盖失败条件的 rc 代码列表。

rc_succeeded

列表 / 元素=整数

将覆盖成功条件的 rc 代码列表。

system_csf

字典

设置的顶层参数。

accept_auth_by_cert

别名:accept-auth-by-cert

字符串

接受具有未知证书的连接,并请求管理员批准。

disable - 不接受具有未知证书的 SSL 连接。

enable - 接受没有自动证书验证的 SSL 连接。

选项

  • "disable"

  • "enable"

authorization_request_type

别名:authorization-request-type

字符串

授权请求类型。

certificate - 请求通过证书进行验证。

serial - 请求通过序列号进行验证。

选项

  • "certificate"

  • "serial"

certificate

字符串

证书。

configuration_sync

别名:configuration-sync

字符串

配置同步模式。

default - 将 IPAM、FortiAnalyzer、FortiSandbox 和中央管理的配置同步到根节点。

local - 不与根节点同步配置。

选项

  • "default"

  • "local"

downstream_access

别名:downstream-access

字符串

启用/禁用下游设备对此设备的配置和数据的访问。

disable - 禁用下游设备对此设备的配置和数据的访问。

enable - 启用下游设备对此设备的配置和数据的访问。

选项

  • "disable"

  • "enable"

downstream_accprofile

别名:downstream-accprofile

字符串

来自下游设备的请求的默认访问配置文件。

fabric_connector

别名:fabric-connector

列表 / 元素=字典

Fabric 连接器。

accprofile

字符串

覆盖访问配置文件。

configuration_write_access

别名:configuration-write-access

字符串

启用/禁用下游设备对配置的写入访问权限。

disable - 禁用下游设备对配置的写入访问权限。

enable - 启用下游设备对配置的写入访问权限。

选项

  • "disable"

  • "enable"

serial

字符串

序列号。

fabric_object_unification

别名:fabric-object-unification

字符串

Fabric CMDB 对象统一。

local - 全局 CMDB 对象不会与此设备同步。

default - 全局 CMDB 对象将在安全 Fabric 中同步。

选项

  • "local"

  • "default"

fabric_workers

别名:fabric-workers

整数

安全 Fabric 守护进程的工作进程数。

file_mgmt

别名:file-mgmt

字符串

启用/禁用安全 Fabric 守护进程文件管理。

disable - 禁用守护进程文件管理。

enable - 启用守护进程文件管理。

选项

  • "disable"

  • "enable"

file_quota

别名:file-quota

整数

守护进程文件可以使用的最大内存量

file_quota_warning

别名: file-quota-warning

整数

当配额使用达到设定百分比时发出警告。

fixed_key

别名: fixed-key

列表 / 元素=字符串

当此设备为根设备时使用的自动生成的固定密钥。

forticloud_account_enforcement

别名: forticloud-account-enforcement

字符串

飞塔云账户统一。

disable - 禁用安全架构的飞塔云帐户 ID 匹配。

enable - 启用安全架构的飞塔云帐户 ID 匹配。

选项

  • "disable"

  • "enable"

group_name

别名: group-name

字符串

安全架构组名称。

group_password

别名: group-password

列表 / 元素=字符串

安全架构组密码。

log_unification

别名: log-unification

字符串

启用/禁用日志统一的发现消息广播。

disable - 禁用日志统一的发现消息广播。

enable - 启用日志统一的发现消息广播。

选项

  • "disable"

  • "enable"

saml_configuration_sync

别名: saml-configuration-sync

字符串

SAML 设置配置同步。

local - 不应用根生成的 SAML 配置。

default - 由安全架构根创建安全架构成员的 SAML 设置。

选项

  • "local"

  • "default"

ssl_protocol

别名: ssl-protocol

字符串

设置上游和下游连接的最低 SSL 协议版本。

follow-global-ssl-protocol - 跟随系统设置。

sslv3 - 设置 SSLv3 为最低版本。

tlsv1.

tlsv1.

tlsv1.

tlsv1.

选项

  • "follow-global-ssl-protocol"

  • "sslv3"

  • "tlsv1.0"

  • "tlsv1.1"

  • "tlsv1.2"

  • "tlsv1.3"

status

字符串

启用/禁用安全架构。

disable - 禁用安全架构。

enable - 启用安全架构。

选项

  • "disable"

  • "enable"

trusted_list

别名: trusted-list

列表 / 元素=字典

信任列表。

action

字符串

安全架构授权操作。

accept - 接受授权请求。

deny - 拒绝授权请求。

选项

  • "accept"

  • "deny"

authorization_type

别名: authorization-type

字符串

授权类型。

serial - 通过序列号验证下游。

certificate - 通过证书验证下游。

选项

  • "serial"

  • "certificate"

certificate

字符串

证书。

downstream_authorization

别名: downstream-authorization

字符串

信任此节点的管理员的授权。

disable - 禁用下游授权。

enable - 启用下游授权。

选项

  • "disable"

  • "enable"

ha_members

别名: ha-members

字符串

HA 成员。

index

整数

树中下游的索引。

name

字符串

名称。

serial

字符串

序列号。

upstream

字符串

安全架构中此 FortiGate 上游的 FortiGate 的 IP/FQDN。

upstream_confirm

别名: upstream-confirm

字符串

上游授权确认。

discover - 发现上游设备的信息。

confirm - 确认上游设备的访问权限。

选项

  • "discover"

  • "confirm"

upstream_port

别名: upstream-port

整数

用于与安全架构中此 FortiGate 上游的 FortiGate 通信的端口号

workspace_locking_adom

字符串

用于锁定在工作区模式下运行的 FortiManager 的 ADOM,该值可以是 global 和其他包括 root 的值。

workspace_locking_timeout

整数

等待其他用户释放工作区锁的最长时间(秒)。

默认值: 300

备注

注意

  • 从 2.4.0 版本开始,所有输入参数都使用下划线命名约定 (snake_case)。 请将“var-name”之类的参数更改为“var_name”。 旧的参数名称仍然可用,但您会收到弃用警告。 您可以通过在 ansible.cfg 中设置 deprecation_warnings=False 来忽略此警告。

  • 此 FortiManager 模块支持在工作区锁定模式下运行,顶层参数 workspace_locking_adom 和 workspace_locking_timeout 可以帮助完成这项工作。

  • 通常,当返回非零 rc 时,运行一个模块可能会失败。 您还可以使用参数 rc_failed 和 rc_succeeded 来覆盖失败或成功的条件

示例

- name: Example playbook (generated based on argument schema)
  hosts: fortimanagers
  connection: httpapi
  vars:
    ansible_httpapi_use_ssl: true
    ansible_httpapi_validate_certs: false
    ansible_httpapi_port: 443
  tasks:
    - name: Add this device to a Security Fabric or set up a new Security Fabric on this device.
      fortinet.fortimanager.fmgr_system_csf:
        # bypass_validation: false
        workspace_locking_adom: <value in [global, custom adom including root]>
        workspace_locking_timeout: 300
        # rc_succeeded: [0, -2, -3, ...]
        # rc_failed: [-2, -3, ...]
        system_csf:
          accept_auth_by_cert: <value in [disable, enable]>
          authorization_request_type: <value in [certificate, serial]>
          certificate: <string>
          configuration_sync: <value in [default, local]>
          downstream_access: <value in [disable, enable]>
          downstream_accprofile: <string>
          fabric_connector:
            -
              accprofile: <string>
              configuration_write_access: <value in [disable, enable]>
              serial: <string>
          fabric_object_unification: <value in [local, default]>
          fabric_workers: <integer>
          file_mgmt: <value in [disable, enable]>
          file_quota: <integer>
          file_quota_warning: <integer>
          fixed_key: <list or string>
          forticloud_account_enforcement: <value in [disable, enable]>
          group_name: <string>
          group_password: <list or string>
          log_unification: <value in [disable, enable]>
          saml_configuration_sync: <value in [local, default]>
          status: <value in [disable, enable]>
          trusted_list:
            -
              action: <value in [accept, deny]>
              authorization_type: <value in [serial, certificate]>
              certificate: <string>
              downstream_authorization: <value in [disable, enable]>
              ha_members: <string>
              index: <integer>
              name: <string>
              serial: <string>
          upstream: <string>
          upstream_port: <integer>
          upstream_confirm: <value in [discover, confirm]>
          ssl_protocol: <value in [follow-global-ssl-protocol, sslv3, tlsv1.0, ...]>

返回值

通用返回值记录在此处,以下是此模块独有的字段

Key

描述

meta

字典

请求的结果。

返回: 总是

request_url

字符串

请求的完整 URL。

返回: 总是

示例: "/sys/login/user"

response_code

整数

API 请求的状态。

返回: 总是

示例: 0

response_data

列表 / 元素=字符串

API 响应。

返回: 总是

response_message

字符串

API 响应的描述性消息。

返回: 总是

示例: "OK."

system_information

字典

目标系统的信息。

返回: 总是

rc

整数

请求的状态。

返回: 总是

示例: 0

version_check_warning

列表 / 元素=字符串

如果 playbook 中使用的参数不受当前 FortiManager 版本支持,则发出警告。

返回: complex

作者

  • Xinwei Du (@dux-fortinet)

  • Xing Li (@lix-fortinet)

  • Jie Xue (@JieX19)

  • Link Zheng (@chillancezen)

  • Frank Shen (@fshen01)

  • Hongbin Lu (@fgtdev-hblu)