fortinet.fortimanager.fmgr_firewall_accessproxy 模块 – 配置访问代理。
注意
此模块是 fortinet.fortimanager 集合(版本 2.8.2)的一部分。
如果您正在使用 ansible 包,您可能已经安装了此集合。它不包含在 ansible-core 中。要检查是否已安装,请运行 ansible-galaxy collection list。
要安装它,请使用: ansible-galaxy collection install fortinet.fortimanager。
要在 playbook 中使用它,请指定:fortinet.fortimanager.fmgr_firewall_accessproxy。
fortinet.fortimanager 2.1.0 中的新增功能
概要
此模块能够配置 FortiManager 设备。
示例包括所有参数和值,这些参数和值需要在使用前调整为数据源。
参数
参数 |
注释 |
|---|---|
无需使用用户名和密码即可访问 FortiManager 的令牌。 |
|
请求 URL 中的参数 (adom)。 |
|
仅当模块架构与 FortiManager API 结构不同时才设置为 True,模块将继续执行而不验证参数。 选择
|
|
启用/禁用任务日志记录。 选择
|
|
设置的顶级参数。 |
|
启用/禁用将 vhost/域添加到 ztna dox 隧道的 dnsdb。 选择
|
|
API 网关。 |
|
(列表)此访问代理控制的 SaaS 应用程序。 |
|
HTTP2 支持,默认=启用。 选择
|
|
HTTP3/QUIC 支持,默认=禁用。 选择
|
|
客户端 Web 浏览器应保留 cookie 的分钟数。 |
|
HTTP cookie 持久性应应用的域。 |
|
启用/禁用从 HTTP 中的主机字段使用 HTTP cookie 域。 选择
|
|
要接受的 HTTP cookie 的生成。 |
|
将 HTTP cookie 持久性限制为指定的路径。 |
|
控制跨 API 网关的 cookie 共享。 选择
|
|
启用/禁用验证插入的 HTTPS cookie 是否安全。 选择
|
|
API 网关 ID。 |
|
用于将会话分配到真实服务器的方法。 选择
|
|
配置如何确保客户端每次发出请求时都连接到同一台服务器,该请求是...的一部分 选择
|
|
Quic。 |
|
ACK 延迟指数 |
|
活动连接 ID 限制 |
|
启用/禁用活动迁移 选择
|
|
启用/禁用 grease QUIC 位 选择
|
|
最大 ACK 延迟(毫秒) |
|
最大数据报帧大小(字节) |
|
最大空闲超时(毫秒) |
|
最大 UDP 有效负载大小(字节) |
|
真实服务器。 |
|
地址类型。 选择
|
|
真实服务器的地址或地址组。 |
|
真实服务器的通配符域名。 |
|
启用/禁用使用外部浏览器作为SAML用户身份验证的用户代理。 选择
|
|
启用以在转发流量之前检查真实服务器的响应能力。 选择
|
|
用于轮询以确定服务器连接状态的运行状况检查监视器的协议。 选择
|
|
启用/禁用保持定时器。 选择
|
|
HTTP标头中的HTTP服务器域名。 |
|
真实服务器ID。 |
|
真实服务器的IP地址。 |
|
(列表或字符串)用于与真实服务器通信的端口。 |
|
用于与真实服务器通信的端口。 |
|
设置访问代理SSH客户端证书配置文件。 |
|
(列表或字符串)一个或多个服务器主机密钥。 |
|
启用/禁用SSH真实服务器主机密钥验证。 选择
|
|
将真实服务器的状态设置为活动,以便它可以接受流量,或者设置为备用或禁用,以便不接受... 选择
|
|
启用/禁用从虚拟服务器到真实服务器的主机名/IP转换。 选择
|
|
隧道加密。 选择
|
|
TCP转发服务器类型。 选择
|
|
真实服务器的权重。 |
|
启用/禁用成功身份验证后的SAML重定向。 选择
|
|
用于VIP身份验证的SAML服务提供商配置。 |
|
服务。 选择
|
|
根据加密强度,允许用于SSL完全模式会话服务器端的加密算法。 选择
|
|
SSL密码套件。 |
|
密码套件名称。 选择
|
|
SSL/TLS密码套件优先级。 |
|
密码套件可以使用的SSL/TLS版本。 选择
|
|
在SSL会话的RSA加密中用于Diffie-Hellman交换的位数。 选择
|
|
服务器可接受的最高SSL/TLS版本。 选择
|
|
服务器可接受的最低SSL/TLS版本。 选择
|
|
启用/禁用安全重新协商以符合RFC 5746。 选择
|
|
SSL-VPN Web门户。 |
|
要匹配的URL模式。 |
|
url-map的类型。 选择
|
|
虚拟主机。 |
|
Api gateway6。 |
|
(列表)此访问代理控制的 SaaS 应用程序。 |
|
HTTP2 支持,默认=启用。 选择
|
|
HTTP3/QUIC 支持,默认=禁用。 选择
|
|
客户端 Web 浏览器应保留 cookie 的分钟数。 |
|
HTTP cookie 持久性应应用的域。 |
|
启用/禁用从 HTTP 中的主机字段使用 HTTP cookie 域。 选择
|
|
要接受的 HTTP cookie 的生成。 |
|
将 HTTP cookie 持久性限制为指定的路径。 |
|
控制跨 API 网关的 cookie 共享。 选择
|
|
启用/禁用验证插入的 HTTPS cookie 是否安全。 选择
|
|
API 网关 ID。 |
|
用于将会话分配到真实服务器的方法。 选择
|
|
配置如何确保客户端每次发出请求时都连接到同一台服务器,该请求是...的一部分 选择
|
|
Quic。 |
|
ACK 延迟指数 |
|
活动连接 ID 限制 |
|
启用/禁用活动迁移 选择
|
|
启用/禁用 grease QUIC 位 选择
|
|
最大 ACK 延迟(毫秒) |
|
最大数据报帧大小(字节) |
|
最大空闲超时(毫秒) |
|
最大 UDP 有效负载大小(字节) |
|
真实服务器。 |
|
地址类型。 选择
|
|
真实服务器的地址或地址组。 |
|
真实服务器的通配符域名。 |
|
启用/禁用使用外部浏览器作为SAML用户身份验证的用户代理。 选择
|
|
启用以在转发流量之前检查真实服务器的响应能力。 选择
|
|
用于轮询以确定服务器连接状态的运行状况检查监视器的协议。 选择
|
|
启用/禁用保持定时器。 选择
|
|
HTTP标头中的HTTP服务器域名。 |
|
真实服务器ID。 |
|
真实服务器的 IPv6 地址。 |
|
(列表或字符串)用于与真实服务器通信的端口。 |
|
用于与真实服务器通信的端口。 |
|
设置访问代理SSH客户端证书配置文件。 |
|
(列表或字符串)一个或多个服务器主机密钥。 |
|
启用/禁用SSH真实服务器主机密钥验证。 选择
|
|
将真实服务器的状态设置为活动,以便它可以接受流量,或者设置为备用或禁用,以便不接受... 选择
|
|
启用/禁用从虚拟服务器到真实服务器的主机名/IP转换。 选择
|
|
隧道加密。 选择
|
|
TCP转发服务器类型。 选择
|
|
真实服务器的权重。 |
|
启用/禁用成功身份验证后的SAML重定向。 选择
|
|
用于VIP身份验证的SAML服务提供商配置。 |
|
服务。 选择
|
|
根据加密强度,允许用于SSL完全模式会话服务器端的加密算法。 选择
|
|
SSL密码套件。 |
|
密码套件名称。 选择
|
|
SSL/TLS密码套件优先级。 |
|
密码套件可以使用的SSL/TLS版本。 选择
|
|
在SSL会话的RSA加密中用于Diffie-Hellman交换的位数。 选择
|
|
服务器可接受的最高SSL/TLS版本。 选择
|
|
服务器可接受的最低SSL/TLS版本。 选择
|
|
启用/禁用安全重新协商以符合RFC 5746。 选择
|
|
SSL-VPN Web门户。 |
|
要匹配的URL模式。 |
|
url-map的类型。 选择
|
|
虚拟主机。 |
|
启用/禁用身份验证门户。 选择
|
|
身份验证门户的虚拟主机。 |
|
启用/禁用请求客户端证书。 选择
|
|
解密流量镜像。 |
|
空客户端证书的操作。 选择
|
|
支持的最大 HTTP 版本。 选择
|
|
用于将会话分配到 SSL 真实服务器的方法。 选择
|
|
启用/禁用阻止流量的日志记录。 选择
|
|
访问代理名称。 |
|
真实服务器。 |
|
真实服务器ID。 |
|
真实服务器的IP地址。 |
|
用于与真实服务器通信的端口。 |
|
将真实服务器的状态设置为活动,以便它可以接受流量,或设置为备用或禁用,以便不接受流量… 选择
|
|
真实服务器的权重。 |
|
启用/禁用 SSH 真实服务器公钥身份验证。 选择
|
|
服务器公钥身份验证设置。 |
|
SSH 服务器公钥身份验证 CA 的名称。 |
|
证书扩展。 |
|
关键选项。 选择
|
|
证书扩展的名称。 |
|
证书扩展的名称。 |
|
证书扩展的类型。 选择
|
|
启用/禁用附加 permit-agent-forwarding 证书扩展。 选择
|
|
启用/禁用附加 permit-port-forwarding 证书扩展。 选择
|
|
启用/禁用附加 permit-pty 证书扩展。 选择
|
|
启用/禁用附加 permit-user-rc 证书扩展。 选择
|
|
启用/禁用附加 permit-x11-forwarding 证书扩展。 选择
|
|
启用/禁用附加 source-address 证书关键选项。 选择
|
|
启用/禁用服务器池多路复用。 选择
|
|
服务器池中服务器可以处理的最大并发请求数 |
|
服务器池中的服务器在断开连接之前处理的最大请求数 |
|
服务器池中空闲服务器连接的生存时间。 |
|
启用/禁用通过 HTTP user-agent 检测设备类型(如果未提供客户端证书)。 选择
|
|
虚拟 IP 名称。 |
|
使用 FortiCloud API 访问令牌验证 Ansible 客户端。 |
|
覆盖底层 Json RPC 请求的方法。 选择
|
|
将覆盖失败条件的 rc 代码列表。 |
|
将覆盖成功条件的 rc 代码列表。 |
|
创建、更新或删除对象的指令。 选择
|
|
在工作区模式下运行时要锁定的 FortiManager 的 ADOM,该值可以是 global 和其他,包括 root。 |
|
等待其他用户释放工作区锁的最长时间(以秒为单位)。 默认: |
注释
注意
从 2.4.0 版本开始,所有输入参数均使用下划线命名约定 (snake_case)。请将诸如“var-name”之类的参数更改为“var_name”。旧参数名称仍然可用,但您将收到弃用警告。您可以通过在 ansible.cfg 中设置 deprecation_warnings=False 来忽略此警告。
此 FortiManager 模块支持在工作区锁定模式下运行,顶层参数 workspace_locking_adom 和 workspace_locking_timeout 可以帮助完成此工作。
要创建或更新对象,请使用 state present 指令。
要删除对象,请使用 state absent 指令。
通常,当返回非零 rc 时,运行一个模块可能会失败。您还可以使用参数 rc_failed 和 rc_succeeded 来覆盖失败或成功的条件。
示例
- name: Example playbook (generated based on argument schema)
hosts: fortimanagers
connection: httpapi
vars:
ansible_httpapi_use_ssl: true
ansible_httpapi_validate_certs: false
ansible_httpapi_port: 443
tasks:
- name: Configure Access Proxy.
fortinet.fortimanager.fmgr_firewall_accessproxy:
# bypass_validation: false
workspace_locking_adom: <value in [global, custom adom including root]>
workspace_locking_timeout: 300
# rc_succeeded: [0, -2, -3, ...]
# rc_failed: [-2, -3, ...]
adom: <your own value>
state: present # <value in [present, absent]>
firewall_accessproxy:
api_gateway:
-
http_cookie_age: <integer>
http_cookie_domain: <string>
http_cookie_domain_from_host: <value in [disable, enable]>
http_cookie_generation: <integer>
http_cookie_path: <string>
http_cookie_share: <value in [disable, same-ip]>
https_cookie_secure: <value in [disable, enable]>
id: <integer>
ldb_method: <value in [static, round-robin, weighted, ...]>
persistence: <value in [none, http-cookie]>
realservers:
-
address: <string>
health_check: <value in [disable, enable]>
health_check_proto: <value in [ping, http, tcp-connect]>
http_host: <string>
id: <integer>
ip: <string>
mappedport: <list or string>
port: <integer>
status: <value in [active, standby, disable]>
weight: <integer>
addr_type: <value in [fqdn, ip]>
domain: <string>
holddown_interval: <value in [disable, enable]>
ssh_client_cert: <string>
ssh_host_key: <list or string>
ssh_host_key_validation: <value in [disable, enable]>
type: <value in [tcp-forwarding, ssh]>
translate_host: <value in [disable, enable]>
external_auth: <value in [disable, enable]>
tunnel_encryption: <value in [disable, enable]>
saml_server: <string>
service: <value in [http, https, tcp-forwarding, ...]>
ssl_algorithm: <value in [high, medium, low, ...]>
ssl_cipher_suites:
-
cipher: <value in [TLS-RSA-WITH-RC4-128-MD5, TLS-RSA-WITH-RC4-128-SHA, TLS-RSA-WITH-DES-CBC-SHA, ...]>
priority: <integer>
versions:
- "tls-1.0"
- "tls-1.1"
- "tls-1.2"
- "tls-1.3"
ssl_dh_bits: <value in [768, 1024, 1536, ...]>
ssl_max_version: <value in [tls-1.0, tls-1.1, tls-1.2, ...]>
ssl_min_version: <value in [tls-1.0, tls-1.1, tls-1.2, ...]>
url_map: <string>
url_map_type: <value in [sub-string, wildcard, regex]>
virtual_host: <string>
saml_redirect: <value in [disable, enable]>
ssl_vpn_web_portal: <string>
application: <list or string>
ssl_renegotiation: <value in [disable, enable]>
h2_support: <value in [disable, enable]>
h3_support: <value in [disable, enable]>
quic:
ack_delay_exponent: <integer>
active_connection_id_limit: <integer>
active_migration: <value in [disable, enable]>
grease_quic_bit: <value in [disable, enable]>
max_ack_delay: <integer>
max_datagram_frame_size: <integer>
max_idle_timeout: <integer>
max_udp_payload_size: <integer>
client_cert: <value in [disable, enable]>
empty_cert_action: <value in [block, accept, accept-unmanageable]>
ldb_method: <value in [static, round-robin, weighted, ...]>
name: <string>
realservers:
-
id: <integer>
ip: <string>
port: <integer>
status: <value in [active, standby, disable]>
weight: <integer>
server_pubkey_auth: <value in [disable, enable]>
server_pubkey_auth_settings:
auth_ca: <string>
cert_extension:
-
critical: <value in [no, yes]>
data: <string>
name: <string>
type: <value in [fixed, user]>
permit_agent_forwarding: <value in [disable, enable]>
permit_port_forwarding: <value in [disable, enable]>
permit_pty: <value in [disable, enable]>
permit_user_rc: <value in [disable, enable]>
permit_x11_forwarding: <value in [disable, enable]>
source_address: <value in [disable, enable]>
vip: <string>
api_gateway6:
-
http_cookie_age: <integer>
http_cookie_domain: <string>
http_cookie_domain_from_host: <value in [disable, enable]>
http_cookie_generation: <integer>
http_cookie_path: <string>
http_cookie_share: <value in [disable, same-ip]>
https_cookie_secure: <value in [disable, enable]>
id: <integer>
ldb_method: <value in [static, round-robin, weighted, ...]>
persistence: <value in [none, http-cookie]>
realservers:
-
addr_type: <value in [fqdn, ip]>
address: <string>
domain: <string>
health_check: <value in [disable, enable]>
health_check_proto: <value in [ping, http, tcp-connect]>
holddown_interval: <value in [disable, enable]>
http_host: <string>
id: <integer>
ip: <string>
mappedport: <list or string>
port: <integer>
ssh_client_cert: <string>
ssh_host_key: <list or string>
ssh_host_key_validation: <value in [disable, enable]>
status: <value in [active, standby, disable]>
type: <value in [tcp-forwarding, ssh]>
weight: <integer>
translate_host: <value in [disable, enable]>
external_auth: <value in [disable, enable]>
tunnel_encryption: <value in [disable, enable]>
saml_redirect: <value in [disable, enable]>
saml_server: <string>
service: <value in [http, https, tcp-forwarding, ...]>
ssl_algorithm: <value in [high, medium, low]>
ssl_cipher_suites:
-
cipher: <value in [TLS-RSA-WITH-RC4-128-MD5, TLS-RSA-WITH-RC4-128-SHA, TLS-RSA-WITH-DES-CBC-SHA, ...]>
priority: <integer>
versions:
- "tls-1.0"
- "tls-1.1"
- "tls-1.2"
- "tls-1.3"
ssl_dh_bits: <value in [768, 1024, 1536, ...]>
ssl_max_version: <value in [tls-1.0, tls-1.1, tls-1.2, ...]>
ssl_min_version: <value in [tls-1.0, tls-1.1, tls-1.2, ...]>
ssl_vpn_web_portal: <string>
url_map: <string>
url_map_type: <value in [sub-string, wildcard, regex]>
virtual_host: <string>
application: <list or string>
ssl_renegotiation: <value in [disable, enable]>
h2_support: <value in [disable, enable]>
h3_support: <value in [disable, enable]>
quic:
ack_delay_exponent: <integer>
active_connection_id_limit: <integer>
active_migration: <value in [disable, enable]>
grease_quic_bit: <value in [disable, enable]>
max_ack_delay: <integer>
max_datagram_frame_size: <integer>
max_idle_timeout: <integer>
max_udp_payload_size: <integer>
auth_portal: <value in [disable, enable]>
auth_virtual_host: <string>
decrypted_traffic_mirror: <string>
log_blocked_traffic: <value in [disable, enable]>
add_vhost_domain_to_dnsdb: <value in [disable, enable]>
user_agent_detect: <value in [disable, enable]>
http_supported_max_version: <value in [http1, http2]>
svr_pool_multiplex: <value in [disable, enable]>
svr_pool_server_max_request: <integer>
svr_pool_ttl: <integer>
svr_pool_server_max_concurrent_request: <integer>
返回值
常见返回值记录在此处 这里,以下是此模块特有的字段
键 |
描述 |
|---|---|
请求的结果。 返回: 总是 |
|
请求的完整 URL。 返回: 总是 示例: |
|
API 请求的状态。 返回: 总是 示例: |
|
API 响应。 返回: 总是 |
|
API 响应的描述性消息。 返回: 总是 示例: |
|
目标系统的信息。 返回: 总是 |
|
请求的状态。 返回: 总是 示例: |
|
如果 playbook 中使用的参数不受当前 FortiManager 版本支持,则发出警告。 返回: 复杂 |