dellemc.openmanage.ome_application_security_settings 模块 – 配置登录安全属性

注意

此模块是 dellemc.openmanage 集合 (版本 9.9.0) 的一部分。

如果您使用的是 ansible 包,则可能已安装此集合。它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install dellemc.openmanage。您需要其他要求才能使用此模块,有关详细信息,请参见 要求

要在 playbook 中使用它,请指定:dellemc.openmanage.ome_application_security_settings

dellemc.openmanage 4.4.0 中新增

概要

  • 此模块允许您配置 OpenManage Enterprise 或 OpenManage Enterprise Modular 上的登录安全属性。

要求

执行此模块的主机需要以下要求。

  • python >= 3.9.6

参数

参数

注释

ca_path

路径

在 dellemc.openmanage 5.0.0 中添加

包含用于验证的 CA 证书的隐私增强邮件 (PEM) 文件。

fips_mode_enable

布尔值

FIPS 模式旨在满足 FIPS 140-2 级别 1 的要求。有关更多信息,请参阅 FIPS 用户指南。

这仅适用于 OpenManage Enterprise Modular。

这与 *restrict_allowed_ip_range* 和 *login_lockout_policy* 互斥。

警告启用或禁用此选项会将您的机箱重置为默认设置。这可能会导致 IP 设置更改和网络连接丢失。

警告无法在多机箱管理配置中的主导机箱上启用 FIPS 模式。要在主导机箱上切换启用 FIPS,请删除机箱组,启用 FIPS 并重新创建组。

警告对于独立或成员机箱,启用 FIPS 模式会删除创建的任何结构。这可能会导致网络连接和到计算滑轨的数据路径丢失。

选项

  • false

  • true

hostname

字符串 / 必需

OpenManage Enterprise 或 OpenManage Enterprise Modular 的 IP 地址或主机名。

job_wait

布尔值

提供一个选项来等待作业完成。

选项

  • false

  • true ← (默认)

job_wait_timeout

整数

job_wait 的最大等待时间(秒)。作业仅在此持续时间内进行跟踪。

此选项仅在 job_waittrue 时适用。

默认值: 120

login_lockout_policy

字典

多次登录失败后锁定应用程序。

这与 *fips_mode_enable* 互斥。

by_ip_address

布尔值

根据 IP 地址启用或禁用锁定策略设置。这限制了特定时间间隔内来自特定 IP 地址的多次不成功登录尝试次数。

选项

  • false

  • true

by_user_name

布尔值

根据用户名启用或禁用锁定策略设置。这限制了特定时间间隔内来自特定用户的多次不成功登录尝试次数。

选项

  • false

  • true

lockout_fail_count

整数

允许的不成功登录尝试次数,超过此次数后,设备将阻止来自特定用户名或 IP 地址的登录。

lockout_fail_window

整数

锁定失败窗口是必须发生锁定失败计数事件才能触发锁定惩罚时间(以秒为单位)的时间。输入 OpenManage Enterprise 必须显示有关失败尝试的信息的持续时间。

lockout_penalty_time

整数

不允许来自特定用户或 IP 地址的登录尝试的持续时间(以秒为单位)。

password

字符串

OpenManage Enterprise 或 OpenManage Enterprise Modular 密码。

如果未提供密码,则使用环境变量 OME_PASSWORD

示例:export OME_PASSWORD=password

port

整数

OpenManage Enterprise 或 OpenManage Enterprise Modular 的 HTTPS 端口。

默认值: 443

restrict_allowed_ip_range

字典

限制仅允许来自指定 IP 地址范围的入站连接。

这与 *fips_mode_enable* 互斥。

注意在设备上配置 *restrict_allowed_ip_range* 时,任何到设备的入站连接(例如警报接收、固件更新和网络身份)都将从位于指定 IP 地址范围之外的设备中阻止。但是,来自设备的任何出站连接都可以在所有设备上运行。

enable_ip_range

布尔值 / 必需

根据 IP 地址范围允许连接。

选项

  • false

  • true

ip_range

字符串

无类域间路由 (CIDR) 格式的 IP 地址范围。例如:192.168.100.14/24 或 2001:db8::/24

超时时间

整数

在 dellemc.openmanage 5.0.0 中添加

套接字级别的超时时间(秒)。

默认值: 30

用户名

字符串

OpenManage Enterprise 或 OpenManage Enterprise Modular 用户名。

如果未提供用户名,则使用环境变量 OME_USERNAME

示例:export OME_USERNAME=username

validate_certs

布尔值

在 dellemc.openmanage 5.0.0 中添加

如果为 false,则不会验证 SSL 证书。

仅在使用自签名证书的个人控制站点上配置 false

在集合版本 5.0.0 之前,validate_certs 默认值为 false

选项

  • false

  • true ← (默认)

x_auth_token

字符串

新增于 dellemc.openmanage 9.3.0

身份验证令牌。

如果未提供 x_auth_token,则使用环境变量 OME_X_AUTH_TOKEN

示例:export OME_X_AUTH_TOKEN=x_auth_token

备注

注意

  • 从可以直接访问 Dell OpenManage Enterprise 或 OpenManage Enterprise Modular 的系统运行此模块。

  • 此模块支持 check_mode

示例

---
- name: Configure restricted allowed IP range
  dellemc.openmanage.ome_application_security_settings:
    hostname: "192.168.0.1"
    username: "username"
    password: "password"
    ca_path: "/path/to/ca_cert.pem"
    restrict_allowed_ip_range:
      enable_ip_range: true
      ip_range: 192.1.2.3/24

- name: Configure login lockout policy
  dellemc.openmanage.ome_application_security_settings:
    hostname: "192.168.0.1"
    username: "username"
    password: "password"
    ca_path: "/path/to/ca_cert.pem"
    login_lockout_policy:
      by_user_name: true
      by_ip_address: true
      lockout_fail_count: 3
      lockout_fail_window: 30
      lockout_penalty_time: 900

- name: Configure restricted allowed IP range and login lockout policy with job wait time out of 60 seconds
  dellemc.openmanage.ome_application_security_settings:
    hostname: "192.168.0.1"
    username: "username"
    password: "password"
    ca_path: "/path/to/ca_cert.pem"
    restrict_allowed_ip_range:
      enable_ip_range: true
      ip_range: 192.1.2.3/24
    login_lockout_policy:
      by_user_name: true
      by_ip_address: true
      lockout_fail_count: 3
      lockout_fail_window: 30
      lockout_penalty_time: 900
    job_wait_timeout: 60

- name: Enable FIPS mode
  dellemc.openmanage.ome_application_security_settings:
    hostname: "192.168.0.1"
    username: "username"
    password: "password"
    ca_path: "/path/to/ca_cert.pem"
    fips_mode_enable: true

返回值

常见的返回值已在 此处 记录,以下是此模块独有的字段

描述

error_info

字典

HTTP 错误详情。

返回:发生 HTTP 错误时

示例: {"error": {"@Message.ExtendedInfo": [{"Message": "Unable to process the request because the domain information cannot be retrieved.", "MessageArgs": [], "MessageId": "CGEN8007", "RelatedProperties": [], "Resolution": "Verify the status of the database and domain configuration, and then retry the operation.", "Severity": "Critical"}], "code": "Base.1.0.GeneralError", "message": "A general error has occurred. See ExtendedInfo for more information."}}

job_id

整数

安全配置任务的作业 ID。

返回:提供安全配置属性时

示例: 10123

msg

字符串

登录安全配置的总体状态。

返回:始终返回

示例: "Successfully applied the security settings."

作者

  • Jagadeesh N V(@jagadeeshnv)