netapp.ontap.na_ontap_vserver_cifs_security 模块 – NetApp ONTAP vserver CIFS 安全性修改
注意
此模块是 netapp.ontap 集合(版本 22.13.0)的一部分。
如果您正在使用 ansible 包,您可能已经安装了此集合。它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list。
要安装它,请使用:ansible-galaxy collection install netapp.ontap。您需要其他要求才能使用此模块,请参阅 要求 了解详细信息。
要在剧本中使用它,请指定:netapp.ontap.na_ontap_vserver_cifs_security。
netapp.ontap 2.9.0 中的新增功能
概要
修改 vserver CIFS 安全性。
要求
以下要求需要在执行此模块的主机上满足。
Ansible 2.9 或更高版本 - 建议 2.12 或更高版本。
Python3 - 建议 3.9 或更高版本。
当使用 ZAPI 时,建议使用 netapp-lib 2018.11.13 或更高版本(使用 'pip install netapp-lib' 安装),强烈建议使用 netapp-lib 2020.3.12,因为它为连接问题提供了更好的错误报告。
物理或虚拟集群 Data ONTAP 系统,模块支持 Data ONTAP 9.1 及更高版本,REST 支持需要 ONTAP 9.6 或更高版本。
参数
参数 |
注释 |
|---|---|
SSL 客户端证书文件 (.pem) 的路径。 不支持 Python 2.6。 |
|
指定是否需要对域控制器连接进行加密。 选择
|
|
启用或禁用新功能。 这可以用于启用实验性功能或禁用破坏向后兼容性的新功能。 支持的键和值可能会在不事先通知的情况下发生更改。未知的键将被忽略。 |
|
ONTAP 实例的主机名或 IP 地址。 |
|
使用此端口覆盖默认端口 (80 或 443) |
|
启用和禁用 https。 当使用 REST 时被忽略,因为仅支持 https。 当使用 SSL 证书身份验证时被忽略,因为它需要 SSL。 选择
|
|
确定是否为与 Kerberos 相关的 CIFS 通信启用 AES-128 和 AES-256 加密机制。 选择
|
|
确定是否需要本地用户的密码复杂性。 选择
|
|
确定是否需要对传入的 CIFS 流量进行签名。 选择
|
|
确定是否需要对传入的 CIFS 流量进行 SMB 加密。 选择
|
|
时钟偏移(以分钟为单位)是接受时间戳与主机系统时钟不完全匹配的票证的容差。 |
|
确定 KDC 连接的超时值(以秒为单位)。 |
|
确定票证可以续订的最长时间(以天为单位)。 |
|
确定用户的票证可用于 Kerberos 身份验证的最长时间(以小时为单位)。 |
|
SSL 客户端密钥文件的路径。 |
|
确定 LM 兼容性级别。 选择
|
|
要使用的 ontap api 版本 |
|
指定用户的密码。 |
|
确定是否为 AD LDAP 连接启用 LDAP 引用追踪。 选择
|
|
确定 LDAP 通信所需的安全级别。 选择
|
|
确定是否使用 SMB 版本 1 连接到域控制器。 选择
|
|
确定是否使用 SMB 版本 2 连接到域控制器。 选择
|
|
确定是否对安全的 Active Directory LDAP 连接使用 LDAPS。 选择
|
|
此模块仅支持 ZAPI,无法切换到 REST。 never – 如果模块支持 ZAPI,则始终使用 ZAPI。如果 ZAPI 不支持 REST 选项,则可能会发出错误。 auto – 将始终使用 ZAPI。 默认: |
|
确定是否对 AD LDAP 连接使用 start_tls。 选择
|
|
这可以是集群范围或 SVM 范围的帐户,具体取决于是否需要集群级别或 SVM 级别的 API。 更多信息,请阅读文档 https://mysupport.netapp.com/NOW/download/software/nmsdk/9.4/。 支持两种身份验证方法:
要使用证书,必须先将证书安装在 ONTAP 集群中,并且必须启用证书身份验证。 |
|
如果设置为 只有在使用自签名证书的个人控制站点上才应将其设置为 选择
|
|
vserver 的名称。 |
备注
注意
以 na_ontap 为前缀的模块旨在支持 ONTAP 存储平台。
默认启用并推荐使用 https。要在集群上启用 http,您必须运行以下命令:'set -privilege advanced;' 'system services web modify -http-enabled true;'
示例
- name: modify cifs security
netapp.ontap.na_ontap_vserver_cifs_security:
hostname: "{{ hostname }}"
username: username
password: password
vserver: ansible
is_aes_encryption_enabled: false
lm_compatibility_level: lm_ntlm_ntlmv2_krb
smb1_enabled_for_dc_connections: system_default
smb2_enabled_for_dc_connections: system_default
use_start_tls_for_ad_ldap: false
referral_enabled_for_ad_ldap: false
session_security_for_ad_ldap: none
is_signing_required: false
is_password_complexity_required: false
encryption_required_for_dc_connections: false
use_ldaps_for_ad_ldap: false
- name: modify cifs security is_smb_encryption_required
netapp.ontap.na_ontap_vserver_cifs_security:
hostname: "{{ hostname }}"
username: username
password: password
vserver: ansible
is_smb_encryption_required: false
- name: modify cifs security int options
netapp.ontap.na_ontap_vserver_cifs_security:
hostname: "{{ hostname }}"
username: username
password: password
vserver: ansible
kerberos_clock_skew: 10
kerberos_ticket_age: 10
kerberos_renew_age: 5
kerberos_kdc_timeout: 3