f5networks.f5_modules.bigip_device_auth 模块 – 管理 BIG-IP 上的系统身份验证

注意

此模块是 f5networks.f5_modules 集合 (版本 1.32.1) 的一部分。

如果您正在使用 ansible 包,则可能已经安装了此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install f5networks.f5_modules

要在剧本中使用它,请指定:f5networks.f5_modules.bigip_device_auth

f5networks.f5_modules 1.0.0 中的新增功能

概要

  • 管理系统身份验证配置。此模块可以帮助配置许多不同的系统身份验证类型。请注意,此模块不能用于配置 APM 身份验证类型。

参数

参数

注释

accounting

字符串

指定系统如何将计费信息(例如,用户访问哪些服务以及他们消耗的网络资源数量)返回给 TACACS+ 服务器。

当为 send-to-first-server 时,指定系统将计费信息传输回列表中的第一个可用的 TACACS+ 服务器。

当为 send-to-all-servers 时,指定系统将计费信息传输回列表中的所有 TACACS+ 服务器。

此参数受 tacacs 类型支持。

选项

  • "send-to-first-server"

  • "send-to-all-servers"

authentication

字符串

指定系统在发送身份验证请求时采用的过程。

当为 use-first-server 时,指定系统仅将身份验证尝试发送到列表中的第一台服务器。

当为 use-all-servers 时,指定系统向每台服务器发送身份验证请求,直到身份验证成功,或者直到系统已向列表中的所有服务器发送请求。

此参数受 tacacs 类型支持。

选项

  • "use-first-server"

  • "use-all-servers"

protocol_name

字符串

指定与 service_name 中指定的值关联的协议,它是用于客户端授权或系统计费的相关服务的子集。

请注意,大多数 TACACS+ 实现都是协议类型 ip,因此请先尝试此类型。

选项

  • "lcp"

  • "ip"

  • "ipx"

  • "atalk"

  • "vines"

  • "lat"

  • "xremote"

  • "tn3270"

  • "telnet"

  • "rlogin"

  • "pad"

  • "vpdn"

  • "ftp"

  • "http"

  • "deccp"

  • "osicp"

  • "unknown"

provider

字典

f5networks.f5_modules 1.0.0 中新增

包含连接详细信息的字典对象。

auth_provider

字符串

配置 auth 提供程序以从远程设备获取身份验证令牌。

此选项在与 BIG-IQ 设备配合使用时非常有用。

no_f5_teem

布尔值

如果为 yes,则不会将 TEEM 遥测数据发送到 F5。

您可以通过设置环境变量 F5_TELEMETRY_OFF 来省略此选项。

以前使用的变量 F5_TEEM 已弃用,因为其名称令人困惑。

选项

  • false ← (默认)

  • true

password

别名:pass、pwd

字符串 / 必需

用于连接到 BIG-IP 或 BIG-IQ 的用户帐户的密码。

您可以通过设置环境变量 F5_PASSWORD 来省略此选项。

server

字符串 / 必需

BIG-IP 主机或 BIG-IQ 主机。

您可以通过设置环境变量 F5_SERVER 来省略此选项。

server_port

整数

BIG-IP 服务器端口。

您可以通过设置环境变量 F5_SERVER_PORT 来省略此选项。

默认值: 443

timeout

整数

指定与网络设备通信的超时时间(以秒为单位),用于连接或发送命令。如果在操作完成之前超时,模块将出错。

transport

字符串

配置连接到远程设备时使用的传输连接。

选项

  • "rest" ← (默认)

user

字符串 / 必需

连接到 BIG-IP 或 BIG-IQ 的用户名。此用户必须具有设备上的管理权限。

您可以通过设置环境变量 F5_USER 来省略此选项。

validate_certs

布尔值

如果为 no,则不验证 SSL 证书。仅在使用自签名证书的个人控制站点上使用此选项。

您可以通过设置环境变量 F5_VALIDATE_CERTS 来省略此选项。

选项

  • false

  • true ← (默认)

secret

字符串

用于加密和解密从服务器发送或接收的数据包的密钥。

**不要**在 TACACS+ 服务器的密钥中使用井号/哈希符号。

首次配置 TACACS+ 身份验证时,需要此值。

servers

任意

指定与系统通信以获取授权数据的、使用终端访问控制器访问系统 (TACACS)+ 协议的服务器的 IPv4 地址列表。

对于每个地址,可以通过指定 port 键来可选地指定备用 TCP 端口号。

如果未指定端口号,则使用默认端口 49163

此参数受 tacacs 类型支持。

地址

字符串

服务器的 IP 地址。

除非您指定一个简单的服务器列表,否则此字段是必需的。在这种情况下,简单的列表可以指定服务器 IP。请参阅示例以了解更多说明。

端口

字符串

服务器的端口。

服务名称

字符串

指定用户请求授权使用的服务的名称。

标识用户请求授权的内容,使 TACACS+ 服务器能够针对不同类型的授权请求采取不同的行为。

配置此系统身份验证形式时,此设置是必需的。

请注意,大多数 TACACS+ 实现的服务类型为 ppp,因此请先尝试此类型。

选项

  • "slip"

  • "ppp"

  • "arap"

  • "shell"

  • "tty-daemon"

  • "connection"

  • "system"

  • "firewall"

状态

字符串

系统上身份验证配置的状态。

present 时,保证系统已针对指定的 type 进行配置。

absent 时,将系统身份验证源设置回 local

选项

  • "absent"

  • "present" ← (默认)

类型

字符串 / 必需

要使用此模块管理的身份验证类型。

请特别注意,此模块支持的参数会根据您正在配置的 type 而有所不同。

目前,此模块仅支持一部分可用的身份验证类型。

选项

  • "tacacs"

  • "local"

更新密钥

字符串

always 将允许在用户选择这样做时更新密钥。

on_create 仅在 use_auth_sourcetrue 且 TACACS+ 当前不是身份验证源时设置密钥。

选项

  • "always" ← (默认)

  • "on_create"

用于身份验证

布尔值

指定是否在系统上使用此身份验证源。

选项

  • false

  • true

注释

注意

  • 有关使用 Ansible 管理 F5 网络设备的更多信息,请参阅 https://ansible.org.cn/integrations/networks/f5

  • 需要 BIG-IP 软件版本 >= 12。

  • F5 模块仅操作 F5 产品的运行配置。为确保 BIG-IP 特定的配置持久保存到磁盘,请务必包含至少一项使用 f5networks.f5_modules.bigip_config 模块保存运行配置的任务。有关如何正确使用该模块保存运行配置,请参阅该模块的文档。

示例

- name: Set the system auth to TACACS+, default server port
  bigip_device_auth:
    type: tacacs
    authentication: use-all-servers
    accounting: send-to-all-servers
    protocol_name: ip
    secret: secret
    servers:
      - 10.10.10.10
      - 10.10.10.11
    service_name: ppp
    state: present
    use_for_auth: true
    provider:
      password: secret
      server: lb.mydomain.com
      user: admin
  delegate_to: localhost

- name: Set the system auth to TACACS+, override server port
  bigip_device_auth:
    type: tacacs
    authentication: use-all-servers
    protocol_name: ip
    secret: secret
    servers:
      - address: 10.10.10.10
        port: 1234
      - 10.10.10.11
    service_name: ppp
    use_for_auth: true
    state: present
    provider:
      password: secret
      server: lb.mydomain.com
      user: admin
  delegate_to: localhost

返回值

常见的返回值已在此处 记录,以下是此模块独有的字段

描述

accounting

字符串

使用 TACACS 时向其发送信息的服务器。

返回:已更改

示例: "send-to-all-servers"

authentication

字符串

使用 TACACS 时系统用于处理身份验证请求的流程。

返回:已更改

示例: "use-all-servers"

protocol_name

字符串

与用于客户端身份验证的 service_name 关联的协议名称。

返回:已更改

示例: "ip"

servers

列表 / 元素=字符串

TACACS 身份验证中使用的服务器列表。

返回:已更改

示例: ["1.2.2.1", "4.5.5.4"]

服务名称

字符串

用户请求授权使用的服务的名称。

返回:已更改

示例: "ppp"

作者

  • Tim Rupp (@caphrim007)

  • Nitin Khanna (@nitinthewiz)