Nota

Este complemento es parte del colección fortinet.fortios (versión 1.1.8).

Para instalarlo use: ansible-galaxy collection install fortinet.fortios.

Para usarlo en un libro de jugadas, especifique: fortinet.fortios.fortios_firewall_ssl_ssh_profile.

Nuevo en la versión 2.8: de fortinet.fortios

  • Sinopsis
  • Requisitos
  • Parámetros
  • Notas
  • Ejemplos de
  • Valores devueltos

Sinopsis

  • Este módulo puede configurar un dispositivo FortiGate o FortiOS (FOS) permitiendo al usuario configurar y modificar la función de firewall y la categoría ssl_ssh_profile. Los ejemplos incluyen todos los parámetros y valores que deben ajustarse a las fuentes de datos antes de su uso. Probado con FOS v6.0.0

Requisitos

Los siguientes requisitos son necesarios en el host que ejecuta este módulo.

  • ansible> = 2.9.0

Parámetros

Parámetro Opciones / Valores predeterminados Comentarios
access_tokencuerda Autenticación basada en token. Generado a partir de la GUI de Fortigate.
firewall_ssl_ssh_profilediccionario Configure las opciones del protocolo SSL / SSH.
canamecuerda Certificado de CA utilizado por la inspección SSL. Fuente vpn.certificate.local.name.
comentariocuerda Comentarios opcionales.
ftpsdiccionario Configure las opciones de FTPS.
allow_invalid_server_certcuerda
    Opciones:

  • habilitar
  • desactivar
Cuando está habilitado, permite sesiones SSL cuya validación de certificado de servidor falló.
client_cert_requestcuerda
    Opciones:

  • derivación
  • inspeccionar
  • cuadra
Acción basada en el error de solicitud de certificado del cliente.
puertosentero Puertos que se utilizarán para escanear (1 – 65535).
estadocuerda
    Opciones:

  • desactivar
  • inspección profunda
Configure el estado de inspección del protocolo.
unsupported_sslcuerda
    Opciones:

  • derivación
  • inspeccionar
  • cuadra
La acción basada en el cifrado SSL utilizado no es compatible.
untrusted_certcuerda
    Opciones:

  • permitir
  • cuadra
  • ignorar
Permita, ignore o bloquee el certificado del servidor de sesión SSL que no es de confianza.
httpsdiccionario Configure las opciones de HTTPS.
allow_invalid_server_certcuerda
    Opciones:

  • habilitar
  • desactivar
Cuando está habilitado, permite sesiones SSL cuya validación de certificado de servidor falló.
client_cert_requestcuerda
    Opciones:

  • derivación
  • inspeccionar
  • cuadra
Acción basada en el error de solicitud de certificado del cliente.
puertosentero Puertos que se utilizarán para escanear (1 – 65535).
estadocuerda
    Opciones:

  • desactivar
  • certificado de inspección
  • inspección profunda
Configure el estado de inspección del protocolo.
unsupported_sslcuerda
    Opciones:

  • derivación
  • inspeccionar
  • cuadra
No se admite la acción basada en el cifrado SSL utilizado.
untrusted_certcuerda
    Opciones:

  • permitir
  • cuadra
  • ignorar
Permita, ignore o bloquee el certificado del servidor de sesión SSL que no es de confianza.
imapsdiccionario Configure las opciones de IMAPS.
allow_invalid_server_certcuerda
    Opciones:

  • habilitar
  • desactivar
Cuando está habilitado, permite sesiones SSL cuya validación de certificado de servidor falló.
client_cert_requestcuerda
    Opciones:

  • derivación
  • inspeccionar
  • cuadra
Acción basada en el error de solicitud de certificado del cliente.
puertosentero Puertos que se utilizarán para escanear (1 – 65535).
estadocuerda
    Opciones:

  • desactivar
  • inspección profunda
Configure el estado de inspección del protocolo.
unsupported_sslcuerda
    Opciones:

  • derivación
  • inspeccionar
  • cuadra
La acción basada en el cifrado SSL utilizado no es compatible.
untrusted_certcuerda
    Opciones:

  • permitir
  • cuadra
  • ignorar
Permita, ignore o bloquee el certificado del servidor de sesión SSL que no es de confianza.
mapi_over_httpscuerda
    Opciones:

  • habilitar
  • desactivar
Activar / desactivar la inspección de MAPI sobre HTTPS.
nombrecuerda / requerido Nombre.
pop3sdiccionario Configure las opciones de POP3S.
allow_invalid_server_certcuerda
    Opciones:

  • habilitar
  • desactivar
Cuando está habilitado, permite sesiones SSL cuya validación de certificado de servidor falló.
client_cert_requestcuerda
    Opciones:

  • derivación
  • inspeccionar
  • cuadra
Acción basada en el error de solicitud de certificado del cliente.
puertosentero Puertos que se utilizarán para escanear (1 – 65535).
estadocuerda
    Opciones:

  • desactivar
  • inspección profunda
Configure el estado de inspección del protocolo.
unsupported_sslcuerda
    Opciones:

  • derivación
  • inspeccionar
  • cuadra
No se admite la acción basada en el cifrado SSL utilizado.
untrusted_certcuerda
    Opciones:

  • permitir
  • cuadra
  • ignorar
Permita, ignore o bloquee el certificado del servidor de sesión SSL que no es de confianza.
rpc_over_httpscuerda
    Opciones:

  • habilitar
  • desactivar
Habilita / deshabilita la inspección de RPC sobre HTTPS.
server_certcuerda Certificado utilizado por la inspección SSL para reemplazar el certificado del servidor. Fuente vpn.certificate.local.name.
server_cert_modecuerda
    Opciones:

  • Renunciar
  • reemplazar
Vuelva a firmar o reemplace el certificado del servidor.
smtpsdiccionario Configure las opciones de SMTPS.
allow_invalid_server_certcuerda
    Opciones:

  • habilitar
  • desactivar
Cuando está habilitado, permite sesiones SSL cuya validación de certificado de servidor falló.
client_cert_requestcuerda
    Opciones:

  • derivación
  • inspeccionar
  • cuadra
Acción basada en el error de solicitud de certificado del cliente.
puertosentero Puertos que se utilizarán para escanear (1 – 65535).
estadocuerda
    Opciones:

  • desactivar
  • inspección profunda
Configure el estado de inspección del protocolo.
unsupported_sslcuerda
    Opciones:

  • derivación
  • inspeccionar
  • cuadra
La acción basada en el cifrado SSL utilizado no es compatible.
untrusted_certcuerda
    Opciones:

  • permitir
  • cuadra
  • ignorar
Permita, ignore o bloquee el certificado del servidor de sesión SSL que no es de confianza.
sshdiccionario Configure las opciones de SSH.
inspeccionar_todoscuerda
    Opciones:

  • desactivar
  • inspección profunda
Nivel de inspección SSL.
puertosentero Puertos que se utilizarán para escanear (1 – 65535).
ssh_algorithmcuerda
    Opciones:

  • compatible
  • alto cifrado
Fuerza relativa de los algoritmos de cifrado aceptados durante la negociación.
ssh_policy_checkcuerda
    Opciones:

  • desactivar
  • habilitar
Habilitar / deshabilitar la verificación de la política SSH.
ssh_tun_policy_checkcuerda
    Opciones:

  • desactivar
  • habilitar
Habilite / deshabilite la verificación de la política del túnel SSH.
estadocuerda
    Opciones:

  • desactivar
  • inspección profunda
Configure el estado de inspección del protocolo.
unsupported_versioncuerda
    Opciones:

  • derivación
  • cuadra
Acción basada en que la versión SSH no es compatible.
ssldiccionario Configure las opciones de SSL.
allow_invalid_server_certcuerda
    Opciones:

  • habilitar
  • desactivar
Cuando está habilitado, permite sesiones SSL cuya validación de certificado de servidor falló.
client_cert_requestcuerda
    Opciones:

  • derivación
  • inspeccionar
  • cuadra
Acción basada en el error de solicitud de certificado del cliente.
inspeccionar_todoscuerda
    Opciones:

  • desactivar
  • certificado de inspección
  • inspección profunda
Nivel de inspección SSL.
unsupported_sslcuerda
    Opciones:

  • derivación
  • inspeccionar
  • cuadra
No se admite la acción basada en el cifrado SSL utilizado.
untrusted_certcuerda
    Opciones:

  • permitir
  • cuadra
  • ignorar
Permita, ignore o bloquee el certificado del servidor de sesión SSL que no es de confianza.
ssl_anomalies_logcuerda
    Opciones:

  • desactivar
  • habilitar
Habilitar / deshabilitar el registro de anomalías de SSL.
ssl_exemptlista / elementos = cadena Servidores a eximir de la inspección SSL.
Direccióncuerda Objeto de dirección IPv4. Fuente firewall.address.name firewall.addrgrp.name.
dirección6cuerda Objeto de dirección IPv6. Fuente firewall.address6.name firewall.addrgrp6.name.
fortiguard_categoryentero ID de categoría de FortiGuard.
identificaciónentero / requerido Número de identificación.
regexcuerda Servidores exentos por expresión regular.
escribecuerda
    Opciones:

  • categoría-fortiguard
  • Dirección
  • dirección6
  • comodín-fqdn
  • regex
Tipo de objeto de dirección (IPv4 o IPv6) o categoría FortiGuard.
wildcard_fqdncuerda Servidores exentos mediante comodín FQDN. Fuente firewall.wildcard-fqdn.custom.name firewall.wildcard-fqdn.group.name.
ssl_exemptions_logcuerda
    Opciones:

  • desactivar
  • habilitar
Habilitar / deshabilitar el registro de exenciones de SSL.
ssl_serverlista / elementos = cadena Servidores SSL.
ftps_client_cert_requestcuerda
    Opciones:

  • derivación
  • inspeccionar
  • cuadra
Acción basada en el error de solicitud de certificado del cliente durante el protocolo de enlace FTPS.
https_client_cert_requestcuerda
    Opciones:

  • derivación
  • inspeccionar
  • cuadra
Acción basada en el error de solicitud de certificado de cliente durante el protocolo de enlace HTTPS.
identificaciónentero / requerido ID de servidor SSL.
imaps_client_cert_requestcuerda
    Opciones:

  • derivación
  • inspeccionar
  • cuadra
Acción basada en el error de solicitud de certificado de cliente durante el protocolo de enlace IMAPS.
ipcuerda Dirección IPv4 del servidor SSL.
pop3s_client_cert_requestcuerda
    Opciones:

  • derivación
  • inspeccionar
  • cuadra
Acción basada en el error de solicitud de certificado del cliente durante el protocolo de enlace de POP3S.
smtps_client_cert_requestcuerda
    Opciones:

  • derivación
  • inspeccionar
  • cuadra
Acción basada en el error de solicitud de certificado de cliente durante el protocolo de enlace SMTPS.
ssl_other_client_cert_requestcuerda
    Opciones:

  • derivación
  • inspeccionar
  • cuadra
Acción basada en el error de solicitud de certificado del cliente durante un protocolo de enlace SSL.
estadocuerda
    Opciones:

  • regalo
  • ausente
ObsoletoA partir de Ansible 2.9, recomendamos utilizar el parámetro ‘estado’ de nivel superior, que indica si se debe crear o eliminar el objeto.
untrusted_canamecuerda Certificado de CA que no es de confianza utilizado por la inspección SSL. Fuente vpn.certificate.local.name.
use_ssl_servercuerda
    Opciones:

  • desactivar
  • habilitar
Habilite / deshabilite el uso de la tabla del servidor SSL para la descarga de SSL.
lista blancacuerda
    Opciones:

  • habilitar
  • desactivar
Habilite / deshabilite servidores exentos por lista blanca de FortiGuard.
estadocuerda agregado en 2.9 de fortinet.fortios
    Opciones:

  • regalo
  • ausente
Indica si crear o eliminar el objeto. Este atributo ya estaba presente en la versión anterior en un nivel más profundo. Se ha trasladado a este nivel exterior.
vdomcuerda Defecto:
“raíz”
Dominio virtual, entre los definidos anteriormente. Un vdom es una instancia virtual de FortiGate que se puede configurar y utilizar como una unidad diferente.

Notas

Nota

  • Fortiosapi heredado ha quedado en desuso, httpapi es la forma preferida de ejecutar libros de jugadas

Ejemplos de

-hosts: fortigates
  collections:- fortinet.fortios
  connection: httpapi
  vars:vdom:"root"ansible_httpapi_use_ssl: yes
   ansible_httpapi_validate_certs: no
   ansible_httpapi_port:443tasks:-name: Configure SSL/SSH protocol options.
    fortios_firewall_ssl_ssh_profile:vdom:" vdom "state:"present"access_token:""firewall_ssl_ssh_profile:caname:" (source vpn.certificate.local.name)"comment:"Optional comments."ftps:allow_invalid_server_cert:"enable"client_cert_request:"bypass"ports:"8"status:"disable"unsupported_ssl:"bypass"untrusted_cert:"allow"https:allow_invalid_server_cert:"enable"client_cert_request:"bypass"ports:"15"status:"disable"unsupported_ssl:"bypass"untrusted_cert:"allow"imaps:allow_invalid_server_cert:"enable"client_cert_request:"bypass"ports:"22"status:"disable"unsupported_ssl:"bypass"untrusted_cert:"allow"mapi_over_https:"enable"name:"default_name_27"pop3s:allow_invalid_server_cert:"enable"client_cert_request:"bypass"ports:"31"status:"disable"unsupported_ssl:"bypass"untrusted_cert:"allow"rpc_over_https:"enable"server_cert:" (source vpn.certificate.local.name)"server_cert_mode:"re-sign"smtps:allow_invalid_server_cert:"enable"client_cert_request:"bypass"ports:"41"status:"disable"unsupported_ssl:"bypass"untrusted_cert:"allow"ssh:inspect_all:"disable"ports:"47"ssh_algorithm:"compatible"ssh_policy_check:"disable"ssh_tun_policy_check:"disable"status:"disable"unsupported_version:"bypass"ssl:allow_invalid_server_cert:"enable"client_cert_request:"bypass"inspect_all:"disable"unsupported_ssl:"bypass"untrusted_cert:"allow"ssl_anomalies_log:"disable"ssl_exempt:-address:" (source firewall.address.name firewall.addrgrp.name)"address6:" (source firewall.address6.name firewall.addrgrp6.name)"fortiguard_category:"63"id:"64"regex:""type:"fortiguard-category"wildcard_fqdn:" (source firewall.wildcard-fqdn.custom.name firewall.wildcard-fqdn.group.name)"ssl_exemptions_log:"disable"ssl_server:-ftps_client_cert_request:"bypass"https_client_cert_request:"bypass"id:"72"imaps_client_cert_request:"bypass"ip:""pop3s_client_cert_request:"bypass"smtps_client_cert_request:"bypass"ssl_other_client_cert_request:"bypass"untrusted_caname:" (source vpn.certificate.local.name)"use_ssl_server:"disable"whitelist:"enable"

Valores devueltos

Los valores de retorno comunes están documentados aquí, los siguientes son los campos exclusivos de este módulo:

Llave Devuelto Descripción
construircuerda siempre Número de compilación de la imagen de fortigate
Muestra:1547
http_methodcuerda siempre Último método utilizado para aprovisionar el contenido en FortiGate
Muestra:PONER
http_statuscuerda siempre Último resultado dado por FortiGate en la última operación aplicada
Muestra:200
mkeycuerda éxito Clave maestra (id) utilizada en la última llamada a FortiGate
Muestra:identificación
nombrecuerda siempre Nombre de la tabla utilizada para cumplir con la solicitud.
Muestra:urlfilter
senderocuerda siempre Ruta de la tabla utilizada para cumplir con la solicitud
Muestra:webfilter
revisióncuerda siempre Número de revisión interna
Muestra:17.0.2.10658
de seriecuerda siempre Número de serie de la unidad
Muestra:FGVMEVYYQT3AB5352
estadocuerda siempre Indicación del resultado de la operación
Muestra:éxito
vdomcuerda siempre Dominio virtual utilizado
Muestra:raíz
versióncuerda siempre Versión de FortiGate
Muestra:v5.6.3

Autores

  • Enlace Zheng (@chillancezen)
  • Jie Xue (@ JieX19)
  • Hongbin Lu (@ fgtdev-hblu)
  • Frank Shen (@ frankshen01)
  • Miguel Angel Muñoz (@mamunozgonzalez)
  • Nicolas Thomas (@thomnico)