fortinet.fortimanager.fmgr_vpn_ssl_settings 模块 – 配置 SSL VPN。

注意

此模块是 fortinet.fortimanager 集合 (版本 2.8.2) 的一部分。

如果您正在使用 ansible 包,您可能已经安装了此集合。它不包含在 ansible-core 中。要检查它是否已安装,请运行 ansible-galaxy collection list

要安装它,请使用:ansible-galaxy collection install fortinet.fortimanager

要在 playbook 中使用它,请指定:fortinet.fortimanager.fmgr_vpn_ssl_settings

fortinet.fortimanager 2.1.0 中的新增功能

概要

  • 此模块能够配置 FortiManager 设备。

  • 示例包含所有参数和值,在使用前需要根据数据源进行调整。

参数

参数

注释

access_token

字符串

无需用户名和密码即可访问 FortiManager 的令牌。

bypass_validation

布尔值

仅当模块模式与 FortiManager API 结构不同时设置为 True,模块将继续执行而无需验证参数。

选项

  • false ← (默认)

  • true

device

字符串 / 必需

请求 URL 中的参数 (device)。

enable_log

布尔值

启用/禁用任务日志记录。

选项

  • false ← (默认)

  • true

forticloud_access_token

字符串

使用 forticloud API 访问令牌对 Ansible 客户端进行身份验证。

proposed_method

字符串

底层 Json RPC 请求的覆盖方法。

选项

  • "update"

  • "set"

  • "add"

rc_failed

列表 / 元素=整数

将覆盖失败条件的 rc 代码列表。

rc_succeeded

列表 / 元素=整数

将覆盖成功条件的 rc 代码列表。

vdom

字符串 / 必需

请求 URL 中的参数 (vdom)。

vpn_ssl_settings

字典

设置的顶级参数。

algorithm

字符串

强制 SSL VPN 安全级别。

选项

  • "default"

  • "high"

  • "low"

  • "medium"

auth_session_check_source_ip

别名:auth-session-check-source-ip

字符串

启用/禁用对身份验证会话的源 IP 检查。

选项

  • "disable"

  • "enable"

auth_timeout

别名:auth-timeout

整数

SSL VPN 身份验证超时

authentication_rule

别名:authentication-rule

列表 / 元素=字典

身份验证规则。

auth

字符串

SSL VPN 身份验证方法限制。

选项

  • "any"

  • "local"

  • "radius"

  • "ldap"

  • "tacacs+"

  • "peer"

cipher

字符串

SSL VPN 密码强度。

选项

  • "any"

  • "high"

  • "medium"

client_cert

别名:client-cert

字符串

启用/禁用 SSL VPN 客户端证书限制。

选项

  • "disable"

  • "enable"

groups

任意

(列表或字符串) 用户组。

id

整数

ID

portal

字符串

SSL VPN 门户。

realm

字符串

SSL VPN 领域。

source_address

别名:source-address

任意

(列表或字符串) 传入流量的源地址。

source_address6

别名:source-address6

任意

(列表或字符串) 传入流量的 IPv6 源地址。

source_address6_negate

别名:source-address6-negate

字符串

启用/禁用否定的 IPv6 源地址匹配。

选项

  • "disable"

  • "enable"

source_address_negate

别名:source-address-negate

字符串

启用/禁用否定的源地址匹配。

选项

  • "disable"

  • "enable"

source_interface

别名:source-interface

任意

(列表或字符串) 传入流量的 SSL VPN 源接口。

user_peer

别名:user-peer

字符串

用户对等体的名称。

users

任意

(列表或字符串) 用户名。

auto_tunnel_static_route

别名:auto-tunnel-static-route

字符串

启用/禁用为 SSL VPN 隧道 IP 地址自动创建静态路由。

选项

  • "disable"

  • "enable"

banned_cipher

别名:banned-cipher

列表 / 元素=字符串

选择在 SSL VPN 协商中不能使用的密码技术。

选项

  • "RSA"

  • "DH"

  • "DHE"

  • "ECDH"

  • "ECDHE"

  • "DSS"

  • "ECDSA"

  • "AES"

  • "AESGCM"

  • "CAMELLIA"

  • "3DES"

  • "SHA1"

  • "SHA256"

  • "SHA384"

  • "STATIC"

  • "CHACHA20"

  • "ARIA"

  • "AESCCM"

browser_language_detection

别名:browser-language-detection

字符串

启用/禁用根据浏览器的首选语言覆盖配置的系统语言。

选项

  • "disable"

  • "enable"

check_referer

别名:check-referer

字符串

启用/禁用验证 HTTP 请求标头中的 referer 字段。

选项

  • "disable"

  • "enable"

ciphersuite

列表 / 元素=字符串

选择一个或多个 TLS 1。

选项

  • "TLS-AES-128-GCM-SHA256"

  • "TLS-AES-256-GCM-SHA384"

  • "TLS-CHACHA20-POLY1305-SHA256"

  • "TLS-AES-128-CCM-SHA256"

  • "TLS-AES-128-CCM-8-SHA256"

client_sigalgs

别名:client-sigalgs

字符串

设置与客户端身份验证相关的签名算法。

选项

  • "no-rsa-pss"

  • "all"

default_portal

别名:default-portal

字符串

默认 SSL VPN 门户。

deflate_compression_level

别名:deflate-compression-level

整数

压缩级别

deflate_min_data_size

别名:deflate-min-data-size

整数

触发压缩的最小数据量

dns_server1

别名:dns-server1

字符串

DNS服务器1。

dns_server2

别名:dns-server2

字符串

DNS服务器2。

dns_suffix

别名:dns-suffix

字符串

SSL VPN客户端使用的DNS后缀。

dtls_heartbeat_fail_count

别名:dtls-heartbeat-fail-count

整数

连接被认为断开之前的丢失心跳次数。

dtls_heartbeat_idle_timeout

别名:dtls-heartbeat-idle-timeout

整数

发送DTLS心跳之前的空闲超时时间。

dtls_heartbeat_interval

别名:dtls-heartbeat-interval

整数

DTLS心跳间隔。

dtls_hello_timeout

别名:dtls-hello-timeout

整数

SSL VPN最大DTLS hello超时时间

dtls_max_proto_ver

别名:dtls-max-proto-ver

字符串

DTLS最大协议版本。

选项

  • "dtls1-0"

  • "dtls1-2"

dtls_min_proto_ver

别名:dtls-min-proto-ver

字符串

DTLS最小协议版本。

选项

  • "dtls1-0"

  • "dtls1-2"

dtls_tunnel

别名:dtls-tunnel

字符串

启用/禁用DTLS以防止窃听、篡改或消息伪造。

选项

  • "disable"

  • "enable"

dual_stack_mode

别名:dual-stack-mode

字符串

隧道模式

选项

  • "disable"

  • "enable"

encode_2f_sequence

别名:encode-2f-sequence

字符串

将URL中的2F序列编码为正斜杠。

选项

  • "disable"

  • "enable"

encrypt_and_store_password

别名:encrypt-and-store-password

字符串

加密并存储SSL VPN Web会话的用户名密码。

选项

  • "disable"

  • "enable"

force_two_factor_auth

别名:force-two-factor-auth

字符串

启用/禁用仅使用双因素身份验证的PKI用户访问SSL VPN。

选项

  • "disable"

  • "enable"

header_x_forwarded_for

别名:header-x-forwarded-for

字符串

转发、添加或删除HTTP标头。

选项

  • "pass"

  • "add"

  • "remove"

hsts_include_subdomains

别名:hsts-include-subdomains

字符串

添加HSTS includeSubDomains响应标头。

选项

  • "disable"

  • "enable"

http_compression

别名:http-compression

字符串

启用/禁用允许通过SSL VPN隧道进行HTTP压缩。

选项

  • "disable"

  • "enable"

http_only_cookie

别名:http-only-cookie

字符串

启用/禁用SSL VPN对HttpOnly Cookie的支持。

选项

  • "disable"

  • "enable"

http_request_body_timeout

别名:http-request-body-timeout

整数

如果在此时间内未收到HTTP请求正文,则SSL VPN会话将断开连接

http_request_header_timeout

别名:http-request-header-timeout

整数

如果在此时间内未收到HTTP请求标头,则SSL VPN会话将断开连接

https_redirect

别名:https-redirect

字符串

启用/禁用将80端口重定向到SSL VPN端口。

选项

  • "disable"

  • "enable"

idle_timeout

别名:idle-timeout

整数

如果空闲时间超过指定秒数,SSL VPN将断开连接。

ipv6_dns_server1

别名:ipv6-dns-server1

字符串

IPv6 DNS服务器1。

ipv6_dns_server2

别名:ipv6-dns-server2

字符串

IPv6 DNS服务器2。

ipv6_wins_server1

别名:ipv6-wins-server1

字符串

IPv6 WINS服务器1。

ipv6_wins_server2

别名:ipv6-wins-server2

字符串

IPv6 WINS服务器2。

login_attempt_limit

别名:login-attempt-limit

整数

SSL VPN最大登录尝试次数(超过此次数将被阻止)

login_block_time

别名:login-block-time

整数

多次登录失败后用户被阻止登录的时间

login_timeout

别名:login-timeout

整数

SSL VPN最大登录超时时间

端口

整数

SSL VPN访问端口

port_precedence

别名:port-precedence

字符串

启用/禁用,启用意味着如果在接口上允许SSL VPN连接,则在…上阻止admin GUI连接。

选项

  • "disable"

  • "enable"

reqclientcert

字符串

启用/禁用要求所有SSL VPN用户提供客户端证书。

选项

  • "disable"

  • "enable"

route_source_interface

别名:route-source-interface

字符串

启用/禁用允许SSL VPN会话绕过路由并绑定到传入接口。

选项

  • "disable"

  • "enable"

saml_redirect_port

别名:saml-redirect-port

整数

运行FortiClient的机器中的SAML本地重定向端口

server_hostname

别名:server-hostname

字符串

HTTPS服务器主机名。

servercert

字符串

要用于SSL VPN的服务器证书名称。

source_address

别名:source-address

任意

(列表或字符串) 传入流量的源地址。

source_address6

别名:source-address6

任意

(列表或字符串) 传入流量的 IPv6 源地址。

source_address6_negate

别名:source-address6-negate

字符串

启用/禁用否定的 IPv6 源地址匹配。

选项

  • "disable"

  • "enable"

source_address_negate

别名:source-address-negate

字符串

启用/禁用否定的源地址匹配。

选项

  • "disable"

  • "enable"

source_interface

别名:source-interface

任意

(列表或字符串) 传入流量的 SSL VPN 源接口。

ssl_big_buffer

别名:ssl-big-buffer

字符串

禁用使用大型SSLv3缓冲区功能以节省内存并强制更高的安全性。

选项

  • "disable"

  • "enable"

ssl_client_renegotiation

别名:ssl-client-renegotiation

字符串

启用/禁用允许服务器在隧道断开时重新协商客户端。

选项

  • "disable"

  • "enable"

ssl_insert_empty_fragment

别名:ssl-insert-empty-fragment

字符串

启用/禁用插入空片段。

选项

  • "disable"

  • "enable"

ssl_max_proto_ver

别名:ssl-max-proto-ver

字符串

SSL最大协议版本。

选项

  • "tls1-0"

  • "tls1-1"

  • "tls1-2"

  • "tls1-3"

ssl_min_proto_ver

别名:ssl-min-proto-ver

字符串

SSL最小协议版本。

选项

  • "tls1-0"

  • "tls1-1"

  • "tls1-2"

  • "tls1-3"

sslv3

字符串

SSLv3。

选项

  • "disable"

  • "enable"

状态

字符串

启用/禁用SSL-VPN。

选项

  • "disable"

  • "enable"

tlsv1_0

别名:tlsv1-0

字符串

启用/禁用TLSv1。

选项

  • "disable"

  • "enable"

tlsv1_1

别名:tlsv1-1

字符串

启用/禁用TLSv1。

选项

  • "disable"

  • "enable"

tlsv1_2

别名:tlsv1-2

字符串

启用/禁用TLSv1。

选项

  • "disable"

  • "enable"

tlsv1_3

别名:tlsv1-3

字符串

TLSv1.3。

选项

  • "disable"

  • "enable"

transform_backward_slashes

别名:transform-backward-slashes

字符串

将URL中的反斜杠转换为正斜杠。

选项

  • "disable"

  • "enable"

tunnel_addr_assigned_method

别名:tunnel-addr-assigned-method

字符串

用于分配隧道地址的方法。

选项

  • "first-available"

  • "round-robin"

tunnel_connect_without_reauth

别名:tunnel-connect-without-reauth

字符串

如果之前的连接断开,则启用/禁用无需重新授权即可连接隧道。

选项

  • "disable"

  • "enable"

tunnel_ip_pools

别名:tunnel-ip-pools

任意

(列表或字符串) 定义为远程客户端保留的IP地址的IPv4 IP池防火墙对象的名称。

tunnel_ipv6_pools

别名:tunnel-ipv6-pools

任意

(列表或字符串) 定义为远程客户端保留的IP地址的IPv6 IP池防火墙对象的名称。

tunnel_user_session_timeout

别名:tunnel-user-session-timeout

整数

隧道连接断开后清理用户会话的超时值

unsafe_legacy_renegotiation

别名:unsafe-legacy-renegotiation

字符串

启用/禁用不安全的旧版重新协商。

选项

  • "disable"

  • "enable"

url_obscuration

别名:url-obscuration

字符串

启用/禁用模糊显示Web浏览器显示的URL的主机名。

选项

  • "disable"

  • "enable"

user_peer

别名:user-peer

字符串

用户对等体的名称。

web_mode_snat

别名:web-mode-snat

字符串

启用/禁用在使用Web模式时使用在防火墙策略中定义的IP池。

选项

  • "disable"

  • "enable"

wins_server1

别名:wins-server1

字符串

WINS服务器1。

wins_server2

别名:wins-server2

字符串

WINS服务器2。

x_content_type_options

别名:x-content-type-options

字符串

添加HTTP X-Content-Type-Options标头。

选项

  • "disable"

  • "enable"

ztna_trusted_client

别名:ztna-trusted-client

字符串

启用/禁用SSLVPN ZTNA会话的设备证书验证。

选项

  • "disable"

  • "enable"

workspace_locking_adom

字符串

在工作区模式下运行FortiManager时要锁定的ADOM,值可以是global和其他包括root。

workspace_locking_timeout

整数

等待其他用户释放工作区锁的最大时间(秒)。

默认值: 300

备注

注意

  • 从2.4.0版本开始,所有输入参数都使用下划线命名约定(snake_case)。请将“var-name”之类的参数更改为“var_name”。旧的参数名称仍然可用,但您会收到弃用警告。您可以通过在ansible.cfg中设置deprecation_warnings=False来忽略此警告。

  • 此FortiManager模块支持在工作区锁定模式下运行,顶级参数workspace_locking_adom和workspace_locking_timeout有助于完成此工作。

  • 通常,当返回非零rc时,运行一个模块可能会失败。您还可以使用参数rc_failed和rc_succeeded来覆盖失败或成功的条件。

示例

- name: Example playbook (generated based on argument schema)
  hosts: fortimanagers
  connection: httpapi
  vars:
    ansible_httpapi_use_ssl: true
    ansible_httpapi_validate_certs: false
    ansible_httpapi_port: 443
  tasks:
    - name: Configure SSL VPN.
      fortinet.fortimanager.fmgr_vpn_ssl_settings:
        # bypass_validation: false
        workspace_locking_adom: <value in [global, custom adom including root]>
        workspace_locking_timeout: 300
        # rc_succeeded: [0, -2, -3, ...]
        # rc_failed: [-2, -3, ...]
        device: <your own value>
        vdom: <your own value>
        vpn_ssl_settings:
          algorithm: <value in [default, high, low, ...]>
          auth_session_check_source_ip: <value in [disable, enable]>
          auth_timeout: <integer>
          authentication_rule:
            -
              auth: <value in [any, local, radius, ...]>
              cipher: <value in [any, high, medium]>
              client_cert: <value in [disable, enable]>
              groups: <list or string>
              id: <integer>
              portal: <string>
              realm: <string>
              source_address: <list or string>
              source_address_negate: <value in [disable, enable]>
              source_address6: <list or string>
              source_address6_negate: <value in [disable, enable]>
              source_interface: <list or string>
              user_peer: <string>
              users: <list or string>
          auto_tunnel_static_route: <value in [disable, enable]>
          banned_cipher:
            - "RSA"
            - "DH"
            - "DHE"
            - "ECDH"
            - "ECDHE"
            - "DSS"
            - "ECDSA"
            - "AES"
            - "AESGCM"
            - "CAMELLIA"
            - "3DES"
            - "SHA1"
            - "SHA256"
            - "SHA384"
            - "STATIC"
            - "CHACHA20"
            - "ARIA"
            - "AESCCM"
          check_referer: <value in [disable, enable]>
          default_portal: <string>
          deflate_compression_level: <integer>
          deflate_min_data_size: <integer>
          dns_server1: <string>
          dns_server2: <string>
          dns_suffix: <string>
          dtls_hello_timeout: <integer>
          dtls_max_proto_ver: <value in [dtls1-0, dtls1-2]>
          dtls_min_proto_ver: <value in [dtls1-0, dtls1-2]>
          dtls_tunnel: <value in [disable, enable]>
          encode_2f_sequence: <value in [disable, enable]>
          encrypt_and_store_password: <value in [disable, enable]>
          force_two_factor_auth: <value in [disable, enable]>
          header_x_forwarded_for: <value in [pass, add, remove]>
          hsts_include_subdomains: <value in [disable, enable]>
          http_compression: <value in [disable, enable]>
          http_only_cookie: <value in [disable, enable]>
          http_request_body_timeout: <integer>
          http_request_header_timeout: <integer>
          https_redirect: <value in [disable, enable]>
          idle_timeout: <integer>
          ipv6_dns_server1: <string>
          ipv6_dns_server2: <string>
          ipv6_wins_server1: <string>
          ipv6_wins_server2: <string>
          login_attempt_limit: <integer>
          login_block_time: <integer>
          login_timeout: <integer>
          port: <integer>
          port_precedence: <value in [disable, enable]>
          reqclientcert: <value in [disable, enable]>
          route_source_interface: <value in [disable, enable]>
          servercert: <string>
          source_address: <list or string>
          source_address_negate: <value in [disable, enable]>
          source_address6: <list or string>
          source_address6_negate: <value in [disable, enable]>
          source_interface: <list or string>
          ssl_client_renegotiation: <value in [disable, enable]>
          ssl_insert_empty_fragment: <value in [disable, enable]>
          ssl_max_proto_ver: <value in [tls1-0, tls1-1, tls1-2, ...]>
          ssl_min_proto_ver: <value in [tls1-0, tls1-1, tls1-2, ...]>
          tlsv1_0: <value in [disable, enable]>
          tlsv1_1: <value in [disable, enable]>
          tlsv1_2: <value in [disable, enable]>
          tlsv1_3: <value in [disable, enable]>
          transform_backward_slashes: <value in [disable, enable]>
          tunnel_connect_without_reauth: <value in [disable, enable]>
          tunnel_ip_pools: <list or string>
          tunnel_ipv6_pools: <list or string>
          tunnel_user_session_timeout: <integer>
          unsafe_legacy_renegotiation: <value in [disable, enable]>
          url_obscuration: <value in [disable, enable]>
          user_peer: <string>
          wins_server1: <string>
          wins_server2: <string>
          x_content_type_options: <value in [disable, enable]>
          sslv3: <value in [disable, enable]>
          ssl_big_buffer: <value in [disable, enable]>
          client_sigalgs: <value in [no-rsa-pss, all]>
          ciphersuite:
            - "TLS-AES-128-GCM-SHA256"
            - "TLS-AES-256-GCM-SHA384"
            - "TLS-CHACHA20-POLY1305-SHA256"
            - "TLS-AES-128-CCM-SHA256"
            - "TLS-AES-128-CCM-8-SHA256"
          dual_stack_mode: <value in [disable, enable]>
          tunnel_addr_assigned_method: <value in [first-available, round-robin]>
          browser_language_detection: <value in [disable, enable]>
          saml_redirect_port: <integer>
          status: <value in [disable, enable]>
          web_mode_snat: <value in [disable, enable]>
          ztna_trusted_client: <value in [disable, enable]>
          dtls_heartbeat_fail_count: <integer>
          dtls_heartbeat_idle_timeout: <integer>
          dtls_heartbeat_interval: <integer>
          server_hostname: <string>

返回值

常用的返回值已在此处记录,以下是此模块独有的字段

描述

meta

字典

请求的结果。

返回值:始终返回

request_url

字符串

请求的完整URL。

返回值:始终返回

示例: "/sys/login/user"

response_code

整数

API请求的状态。

返回值:始终返回

示例: 0

response_data

列表 / 元素=字符串

API响应。

返回值:始终返回

response_message

字符串

API响应的描述性消息。

返回值:始终返回

示例: "OK."

system_information

字典

目标系统的信息。

返回值:始终返回

rc

整数

请求的状态。

返回值:始终返回

示例: 0

version_check_warning

列表 / 元素=字符串

如果剧本中使用的参数不受当前FortiManager版本支持,则会发出警告。

返回值:复杂类型

作者

  • 杜欣伟 (@dux-fortinet)

  • 李兴 (@lix-fortinet)

  • 薛杰 (@JieX19)

  • 郑凌 (@chillancezen)

  • 沈方 (@fshen01)

  • 陆宏斌 (@fgtdev-hblu)