cisco.dnac.ise_radius_integration_workflow_manager 模块 – 身份验证和策略服务器的资源模块

注意

此模块是 cisco.dnac 集合(版本 6.25.0)的一部分。

如果您正在使用 ansible 包,您可能已经安装了此集合。它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install cisco.dnac。您需要进一步的要求才能使用此模块,请参阅 要求 以了解详细信息。

要在 Playbook 中使用它,请指定:cisco.dnac.ise_radius_integration_workflow_manager

cisco.dnac 6.14.0 中的新增功能

概要

  • 管理身份验证和策略服务器的操作。

  • 用于创建身份验证和策略服务器访问配置的 API。

  • 用于更新身份验证和策略服务器访问配置的 API。

  • 用于删除身份验证和策略服务器访问配置的 API。

要求

执行此模块的主机需要满足以下要求。

  • dnacentersdk >= 2.7.2

  • python >= 3.9

参数

参数

注释

config

列表 / 元素=字典 / 必需

正在管理的身份验证和策略服务器的详细信息列表。

authentication_policy_server

列表 / 元素=字典

管理身份验证和策略服务器。

accounting_port

整数

RADIUS 服务器的计费端口。

无法更新计费端口。

计费端口应为 1 到 65535。

默认值: 1813

authentication_port

整数

RADIUS 服务器的身份验证端口。

无法更新身份验证端口。

身份验证端口应为 1 到 65535。

默认值: 1812

cisco_ise_dtos

列表 / 元素=字典

Cisco ISE 数据传输对象 (DTO) 的列表。

当 server_type 设置为 ISE 时,此参数为必需参数。

description

字符串

关于 Cisco ISE 服务器的描述。

fqdn

字符串

Cisco ISE 服务器的完全限定域名。

传递 cisco_ise_dtos 时为必需参数。

ip_address

字符串

Cisco ISE 服务器的 IP 地址。

传递 cisco_ise_dtos 时为必需参数。

password

字符串

Cisco ISE 服务器的密码。

密码必须包含 4 到 127 个字符,且不包含空格或以下字符 - “<”。

传递 cisco_ise_dtos 时为必需参数。

ssh_key

字符串

Cisco ISE 服务器的 SSH 密钥。

user_name

字符串

Cisco ISE 服务器的用户名。

传递 cisco_ise_dtos 时为必需参数。

encryption_key

字符串

用于加密共享密钥的加密密钥。

无法更新加密方案。

当提供 encryption_scheme 时,此参数为必需参数。

当选择 ASCII 格式时,加密密钥可以包含字母数字和特殊字符。密钥长度必须为 16 个字符。

encryption_scheme

字符串

用于提高安全性的加密方案类型。

如果给定加密方案,则需要消息验证码和加密密钥。

无法更新加密方案。

KEYWRAP 用于安全地包装和解包加密密钥,确保它们在传输或存储过程中的机密性。

RADSEC 是 RADIUS 的扩展,它提供 RADIUS 客户端和服务器之间通过 TLS/SSL 的安全通信。增强身份验证和计费数据交换的机密性和完整性。

选择

  • "KEYWRAP"

  • "RADSEC"

external_cisco_ise_ip_addr_dtos

列表 / 元素=字典

外部 Cisco ISE IP 地址数据传输对象,供将来使用。

external_cisco_ise_ip_addresses

列表 / 元素=字典

外部 Cisco ISE IP 地址。

external_ip_address

字符串

外部 Cisco ISE IP 地址。

ise_type

字符串

身份验证和策略服务器的类型。

ise_integration_wait_time

整数

指示启动 Cisco ISE 集成过程后的睡眠时间。

最大睡眠时间应小于或等于 120 秒。

默认值: 20

message_authenticator_code_key

字符串

用于加密共享密钥的消息密钥。

无法更新消息密钥。

当提供 encryption_scheme 时,此参数为必需参数。

消息验证码密钥可以包含字母数字和特殊字符。密钥长度必须为 20 个字符。

protocol

字符串

身份验证和策略服务器的协议类型。

RADIUS 为远程访问场景中的用户提供集中式服务 (AAA)。

TACACS 侧重于网络设备的访问控制和管理身份验证。

选择

  • "TACACS"

  • "RADIUS" ← (默认)

  • "RADIUS_TACACS"

pxgrid_enabled

布尔值

设置为 True 以启用 Pxgrid,设置为 False 以禁用 Pxgrid。

Pxgrid 仅适用于 Cisco ISE 服务器。

PxGrid 促进跨产品的无缝集成和信息共享,从而增强网络生态系统内的威胁检测和响应能力。

选择

  • false

  • true ← (默认)

retries

整数

设备与身份验证和策略服务器之间的通信重试次数。

重试次数应为 1 到 3。

默认值: 3

role

字符串

身份验证和策略服务器的角色。

无法更新角色

默认值: "secondary"

server_ip_address

字符串 / 必填

身份验证和策略服务器的 IP 地址。

server_type

字符串

身份验证和策略服务器的类型。

对于 Cisco ISE 服务器,请使用 ISE。

对于非 Cisco ISE 服务器,请使用 AAA。

选择

  • "AAA" ← (默认)

  • "ISE"

shared_secret

字符串

设备和身份验证及策略服务器之间的共享密钥。

共享密钥必须包含 4 到 100 个字符,且不包含空格或以下字符 - [“<”, “?”]。

共享密钥是只读参数。

timeout

整数

设备和身份验证及策略服务器之间超时的秒数。

超时时间应介于 2 到 20 之间。

默认值: 4

trusted_server

布尔值

指示服务器的证书是否可信。

用于验证安全连接中的真实性和可靠性。

选择

  • false

  • true ← (默认)

use_dnac_cert_for_pxgrid

布尔值

设置为 True 以便为 Pxgrid 使用 Cisco Catalyst Center 证书。

选择

  • false ← (默认)

  • true

config_verify

布尔值

设置为 True 以在应用 playbook 配置后验证 Cisco Catalyst Center。

选择

  • false ← (默认)

  • true

dnac_api_task_timeout

整数

定义用于检索任务详细信息的 API 调用的超时时间(以秒为单位)。如果在此期间内未收到任务详细信息,该进程将结束,并记录超时通知。

默认值: 1200

dnac_debug

布尔值

指示是否在 Cisco Catalyst Center SDK 中启用调试。

选择

  • false ← (默认)

  • true

dnac_host

字符串 / 必填

Cisco Catalyst Center 的主机名。

dnac_log

布尔值

用于启用/禁用 playbook 执行日志记录的标志。

当为 true 且提供了 dnac_log_file_path 时, - 在执行位置创建具有指定名称的日志文件。

当为 true 且未提供 dnac_log_file_path 时, - 在执行位置创建名为“dnac.log”的日志文件。

当为 false 时, - 禁用日志记录。

如果日志文件不存在, - 将根据“dnac_log_append”标志在附加或写入模式下创建该文件。

如果日志文件存在, - 将根据“dnac_log_append”标志覆盖或附加该文件。

选择

  • false ← (默认)

  • true

dnac_log_append

布尔值

确定文件的模式。设置为 True 表示“附加”模式。设置为 False 表示“写入”模式。

选择

  • false

  • true ← (默认)

dnac_log_file_path

字符串

控制日志记录。如果 dnac_log 为 True,则会记录日志。

如果未指定路径, - 当“dnac_log_append”为 True 时,将在当前 Ansible 目录中生成“dnac.log”;日志将被附加。 - 当“dnac_log_append”为 False 时,将生成“dnac.log”;日志将被覆盖。

如果指定了路径, - 当“dnac_log_append”为 True 时,文件将在附加模式下打开。 - 当“dnac_log_append”为 False 时,文件将在写入 (w) 模式下打开。 - 在共享文件场景中,如果没有附加模式,则在每次模块执行后都会覆盖内容。 - 对于共享日志文件,对于第一个模块将附加设置为 False(以覆盖);对于后续模块,将附加设置为 True。

默认值: "dnac.log"

dnac_log_level

字符串

设置日志级别的阈值。将记录级别等于或高于此级别的消息。级别按严重性顺序列出 [CRITICAL、ERROR、WARNING、INFO、DEBUG]。

CRITICAL 表示会停止程序的严重错误。仅显示 CRITICAL 消息。

ERROR 表示会阻止功能的发生的问题。显示 ERROR 和 CRITICAL 消息。

WARNING 表示潜在的未来问题。显示 WARNING、ERROR、CRITICAL 消息。

INFO 跟踪正常操作。显示 INFO、WARNING、ERROR、CRITICAL 消息。

DEBUG 提供详细的诊断信息。显示所有日志消息。

默认值: "WARNING"

dnac_password

字符串

用于在 Cisco Catalyst Center 上进行身份验证的密码。

dnac_port

字符串

指定与 Cisco Catalyst Center 关联的端口号。

默认值: "443"

dnac_task_poll_interval

整数

指定连续调用 API 以检索任务详细信息的时间间隔(以秒为单位)。

默认值: 2

dnac_username

别名: user

字符串

用于在 Cisco Catalyst Center 上进行身份验证的用户名。

默认值: "admin"

dnac_verify

布尔值

用于启用或禁用 SSL 证书验证的标志。

选择

  • false

  • true ← (默认)

dnac_version

字符串

指定 SDK 应使用的 Cisco Catalyst Center 的版本。

默认值: "2.2.3.3"

state

字符串

模块完成后 Cisco Catalyst Center 的状态。

选择

  • "merged" ← (默认)

  • "deleted"

validate_response_schema

布尔值

用于 Cisco Catalyst Center SDK 的标志,用于启用针对 JSON 架构验证请求正文。

选择

  • false

  • true ← (默认)

备注

注意

  • 使用的 SDK 方法为 system_settings.SystemSettings.add_authentication_and_policy_server_access_configuration、system_settings.SystemSettings.edit_authentication_and_policy_server_access_configuration、system_settings.SystemSettings.accept_cisco_ise_server_certificate_for_cisco_ise_server_integration、system_settings.SystemSettings.delete_authentication_and_policy_server_access_configuration、system_settings.SystemSettings.get_authentication_and_policy_servers、system_settings.SystemSettings.cisco_ise_server_integration_status,

  • 使用的路径为 post /dna/intent/api/v1/authentication-policy-servers、put /dna/intent/api/v1/authentication-policy-servers/${id}、put /dna/intent/api/v1/integrate-ise/${id}、delete /dna/intent/api/v1/authentication-policy-servers/${id} get /dna/intent/api/v1/authentication-policy-servers get /dna/intent/api/v1/ise-integration-status

  • 不支持 check_mode

  • 该插件在控制节点上运行,不使用任何 ansible 连接插件,而是使用 Cisco Catalyst Center SDK 中的嵌入式连接管理器

  • 以 dnac_ 开头的参数供 Cisco Catalyst Center Python SDK 用于建立连接

示例

- name: Create an AAA server.
  cisco.dnac.ise_radius_integration_workflow_manager:
    dnac_host: "{{dnac_host}}"
    dnac_username: "{{dnac_username}}"
    dnac_password: "{{dnac_password}}"
    dnac_verify: "{{dnac_verify}}"
    dnac_port: "{{dnac_port}}"
    dnac_version: "{{dnac_version}}"
    dnac_debug: "{{dnac_debug}}"
    dnac_log: True
    dnac_log_level: "{{ dnac_log_level }}"
    state: merged
    config_verify: True
    config:
    - authentication_policy_server:
      - server_type: AAA
        server_ip_address: 10.0.0.1
        shared_secret: "12345"
        protocol: RADIUS_TACACS
        encryption_scheme: KEYWRAP
        encryption_key: "1234567890123456"
        message_authenticator_code_key: asdfghjklasdfghjklas
        authentication_port: 1812
        accounting_port: 1813
        retries: 3
        timeout: 4
        role: secondary

- name: Create an Cisco ISE server.
  cisco.dnac.ise_radius_integration_workflow_manager:
    dnac_host: "{{dnac_host}}"
    dnac_username: "{{dnac_username}}"
    dnac_password: "{{dnac_password}}"
    dnac_verify: "{{dnac_verify}}"
    dnac_port: "{{dnac_port}}"
    dnac_version: "{{dnac_version}}"
    dnac_debug: "{{dnac_debug}}"
    dnac_log: True
    dnac_log_level: "{{ dnac_log_level }}"
    state: merged
    config_verify: True
    config:
    - authentication_policy_server:
      - server_type: ISE
        server_ip_address: 10.0.0.2
        shared_secret: "12345"
        protocol: RADIUS_TACACS
        encryption_scheme: KEYWRAP
        encryption_key: "1234567890123456"
        message_authenticator_code_key: asdfghjklasdfghjklas
        authentication_port: 1812
        accounting_port: 1813
        retries: 3
        timeout: 4
        role: primary
        use_dnac_cert_for_pxgrid: False
        pxgrid_enabled: True
        cisco_ise_dtos:
        - user_name: Cisco ISE
          password: "12345"
          fqdn: abs.cisco.com
          ip_address: 10.0.0.2
          description: Cisco ISE
        trusted_server: True
        ise_integration_wait_time: 20

- name: Update an AAA server.
  cisco.dnac.ise_radius_integration_workflow_manager:
    dnac_host: "{{dnac_host}}"
    dnac_username: "{{dnac_username}}"
    dnac_password: "{{dnac_password}}"
    dnac_verify: "{{dnac_verify}}"
    dnac_port: "{{dnac_port}}"
    dnac_version: "{{dnac_version}}"
    dnac_debug: "{{dnac_debug}}"
    dnac_log: True
    dnac_log_level: "{{ dnac_log_level }}"
    state: merged
    config_verify: True
    config:
    - authentication_policy_server:
      - server_type: AAA
        server_ip_address: 10.0.0.1
        protocol: RADIUS_TACACS
        retries: 3
        timeout: 5

- name: Update an Cisco ISE server.
  cisco.dnac.ise_radius_integration_workflow_manager:
    dnac_host: "{{dnac_host}}"
    dnac_username: "{{dnac_username}}"
    dnac_password: "{{dnac_password}}"
    dnac_verify: "{{dnac_verify}}"
    dnac_port: "{{dnac_port}}"
    dnac_version: "{{dnac_version}}"
    dnac_debug: "{{dnac_debug}}"
    dnac_log: True
    dnac_log_level: "{{ dnac_log_level }}"
    state: merged
    config_verify: True
    config:
    - authentication_policy_server:
      - server_type: ISE
        server_ip_address: 10.0.0.2
        protocol: RADIUS_TACACS
        retries: 3
        timeout: 5
        use_dnac_cert_for_pxgrid: False
        pxgrid_enabled: True
        cisco_ise_dtos:
        - user_name: Cisco ISE
          password: "12345"
          fqdn: abs.cisco.com
          ip_address: 10.0.0.2
          description: Cisco ISE

- name: Delete an Authentication and Policy server.
  cisco.dnac.ise_radius_integration_workflow_manager:
    dnac_host: "{{dnac_host}}"
    dnac_username: "{{dnac_username}}"
    dnac_password: "{{dnac_password}}"
    dnac_verify: "{{dnac_verify}}"
    dnac_port: "{{dnac_port}}"
    dnac_version: "{{dnac_version}}"
    dnac_debug: "{{dnac_debug}}"
    dnac_log: True
    dnac_log_level: "{{ dnac_log_level }}"
    state: deleted
    config_verify: True
    config:
    - authentication_policy_server:
      - server_ip_address: 10.0.0.1

返回值

此处记录了常见的返回值 此处,以下是此模块独有的字段

描述

response_1

字典

包含 Cisco Catalyst Center Python SDK 返回的响应的字典或列表

返回: 总是

示例: {"response": {"taskId": "string", "url": "string"}, "version": "string"}

response_2

字典

包含 Cisco Catalyst Center Python SDK 返回的响应的字典或列表

返回: 总是

示例: {"response": {"taskId": "string", "url": "string"}, "version": "string"}

response_3

字典

包含 Cisco Catalyst Center Python SDK 返回的响应的字典或列表

返回: 总是

示例: {"response": {"taskId": "string", "url": "string"}, "version": "string"}

作者

  • Muthu Rakesh (@MUTHU-RAKESH-27) Madhan Sankaranarayanan (@madhansansel)