Note

Ce plugin fait partie du programme collection fortinet.fortios (version 1.1.8).

Pour l'installer, utilisez : ansible-galaxy collection install fortinet.fortios.

Pour l'utiliser dans un playbook, spécifiez : fortinet.fortios.fortios_firewall_ssl_ssh_profile.

Nouveau dans la version 2.8 : de fortinet.fortios

  • Synopsis
  • Exigences
  • Paramètres
  • Notes
  • Exemples
  • Valeurs de retour

Synopsis

  • Ce module est capable de configurer un dispositif FortiGate ou FortiOS (FOS) en permettant à l'utilisateur de définir et de modifier la fonction de pare-feu et la catégorie ssl_ssh_profile. Les exemples incluent tous les paramètres et les valeurs doivent être ajustés aux sources de données avant l'utilisation. Testé avec FOS v6.0.0

Exigences

Les exigences ci-dessous sont nécessaires sur l'hôte qui exécute ce module.

  • ansible>=2.9.0

Paramètres

Paramètre Choix/par défaut Commentaires
clé d'accèschaîne de caractères Authentification basée sur un jeton. Généré à partir de l'interface graphique de Fortigate.
firewall_ssl_ssh_profiledictionnaire Configure les options du protocole SSL/SSH.
canamechaîne de caractères Certificat d'autorité de certification utilisé par l'inspection SSL. Source vpn.certificate.local.name.
commentairechaîne de caractères Commentaires facultatifs.
ftpsdictionnaire Configurez les options FTPS.
allow_invalid_server_certchaîne de caractères
    Choix :

  • activer
  • désactiver
Lorsqu'il est activé, autorise les sessions SSL dont la validation du certificat du serveur a échoué.
client_cert_requestchaîne de caractères
    Choix :

  • contourner
  • inspecter
  • bloquer
Action basée sur l'échec de la demande de certificat du client.
portsnombre entier Ports à utiliser pour l'analyse (1 - 65535).
étatchaîne de caractères
    Choix :

  • désactiver
  • inspection approfondie
Configurer l'état d'inspection du protocole.
unsupported_sslchaîne de caractères
    Choix :

  • contourner
  • inspecter
  • bloquer
Action basée sur le fait que le cryptage SSL utilisé n'est pas pris en charge.
untrusted_certchaîne de caractères
    Choix :

  • autoriser
  • bloquer
  • ignorer
Autoriser, ignorer ou bloquer le certificat de serveur de session SSL non fiable.
httpsdictionnaire Configurez les options HTTPS.
allow_invalid_server_certchaîne de caractères
    Choix :

  • activer
  • désactiver
Lorsqu'il est activé, autorise les sessions SSL dont la validation du certificat du serveur a échoué.
client_cert_requestchaîne de caractères
    Choix :

  • contourner
  • inspecter
  • bloquer
Action basée sur l'échec de la demande de certificat du client.
portsnombre entier Ports à utiliser pour l'analyse (1 - 65535).
étatchaîne de caractères
    Choix :

  • désactiver
  • inspection des certificats
  • inspection approfondie
Configurer l'état d'inspection du protocole.
unsupported_sslchaîne de caractères
    Choix :

  • contourner
  • inspecter
  • bloquer
Action basée sur le fait que le cryptage SSL utilisé n'est pas pris en charge.
untrusted_certchaîne de caractères
    Choix :

  • autoriser
  • bloquer
  • ignorer
Autoriser, ignorer ou bloquer le certificat de serveur de session SSL non fiable.
imapsdictionnaire Configurez les options IMAPS.
allow_invalid_server_certchaîne de caractères
    Choix :

  • activer
  • désactiver
Lorsqu'il est activé, autorise les sessions SSL dont la validation du certificat du serveur a échoué.
client_cert_requestchaîne de caractères
    Choix :

  • contourner
  • inspecter
  • bloquer
Action basée sur l'échec de la demande de certificat du client.
portsnombre entier Ports à utiliser pour l'analyse (1 - 65535).
étatchaîne de caractères
    Choix :

  • désactiver
  • inspection approfondie
Configurer l'état d'inspection du protocole.
unsupported_sslchaîne de caractères
    Choix :

  • contourner
  • inspecter
  • bloquer
Action basée sur le fait que le cryptage SSL utilisé n'est pas pris en charge.
untrusted_certchaîne de caractères
    Choix :

  • autoriser
  • bloquer
  • ignorer
Autoriser, ignorer ou bloquer le certificat de serveur de session SSL non fiable.
mapi_over_httpschaîne de caractères
    Choix :

  • activer
  • désactiver
Activez/désactivez l'inspection de MAPI sur HTTPS.
nomchaîne de caractères / obligatoire Nom.
pop3sdictionnaire Configurez les options de POP3S.
allow_invalid_server_certchaîne de caractères
    Choix :

  • activer
  • désactiver
Lorsqu'il est activé, autorise les sessions SSL dont la validation du certificat du serveur a échoué.
client_cert_requestchaîne de caractères
    Choix :

  • contourner
  • inspecter
  • bloquer
Action basée sur l'échec de la demande de certificat du client.
portsnombre entier Ports à utiliser pour l'analyse (1 - 65535).
étatchaîne de caractères
    Choix :

  • désactiver
  • inspection approfondie
Configurer l'état d'inspection du protocole.
unsupported_sslchaîne de caractères
    Choix :

  • contourner
  • inspecter
  • bloquer
Action basée sur le fait que le cryptage SSL utilisé n'est pas pris en charge.
untrusted_certchaîne de caractères
    Choix :

  • autoriser
  • bloquer
  • ignorer
Autoriser, ignorer ou bloquer le certificat de serveur de session SSL non fiable.
rpc_over_httpschaîne de caractères
    Choix :

  • activer
  • désactiver
Activez/désactivez l'inspection des RPC sur HTTPS.
server_certchaîne de caractères Certificat utilisé par l'inspection SSL pour remplacer le certificat du serveur. Source vpn.certificate.local.name.
server_cert_modechaîne de caractères
    Choix :

  • re-signer
  • remplacer
Re-signe ou remplace le certificat du serveur.
smtpsdictionnaire Configurez les options SMTPS.
allow_invalid_server_certchaîne de caractères
    Choix :

  • activer
  • désactiver
Lorsqu'il est activé, autorise les sessions SSL dont la validation du certificat du serveur a échoué.
client_cert_requestchaîne de caractères
    Choix :

  • contourner
  • inspecter
  • bloquer
Action basée sur l'échec de la demande de certificat du client.
portsnombre entier Ports à utiliser pour l'analyse (1 - 65535).
étatchaîne de caractères
    Choix :

  • désactiver
  • inspection approfondie
Configurer l'état d'inspection du protocole.
unsupported_sslchaîne de caractères
    Choix :

  • contourner
  • inspecter
  • bloquer
Action basée sur le fait que le cryptage SSL utilisé n'est pas pris en charge.
untrusted_certchaîne de caractères
    Choix :

  • autoriser
  • bloquer
  • ignorer
Autoriser, ignorer ou bloquer le certificat de serveur de session SSL non fiable.
sshdictionnaire Configurez les options SSH.
inspecter_toutchaîne de caractères
    Choix :

  • désactiver
  • inspection approfondie
Niveau d'inspection SSL.
portsnombre entier Ports à utiliser pour l'analyse (1 - 65535).
ssh_algorithmechaîne de caractères
    Choix :

  • compatible
  • cryptage élevé
Force relative des algorithmes de cryptage acceptés pendant la négociation.
ssh_policy_checkchaîne de caractères
    Choix :

  • désactiver
  • activer
Active/désactive la vérification de la politique SSH.
ssh_tun_policy_checkchaîne de caractères
    Choix :

  • désactiver
  • activer
Activez/désactivez la vérification de la politique de tunnel SSH.
statuschaîne de caractères
    Choix :

  • désactiver
  • inspection approfondie
Configurer l'état d'inspection du protocole.
unsupported_versionchaîne de caractères
    Choix :

  • contourner
  • bloquer
Action basée sur le fait que la version de SSH n'est pas prise en charge.
ssldictionnaire Configurez les options SSL.
allow_invalid_server_certchaîne de caractères
    Choix :

  • activer
  • désactiver
Lorsqu'il est activé, autorise les sessions SSL dont la validation du certificat du serveur a échoué.
client_cert_requestchaîne de caractères
    Choix :

  • contourner
  • inspecter
  • bloquer
Action basée sur l'échec de la demande de certificat du client.
inspecter_toutchaîne de caractères
    Choix :

  • désactiver
  • inspection des certificats
  • inspection approfondie
Niveau de l'inspection SSL.
unsupported_sslchaîne de caractères
    Choix :

  • contourner
  • inspecter
  • bloquer
Action basée sur le fait que le cryptage SSL utilisé n'est pas pris en charge.
untrusted_certchaîne de caractères
    Choix :

  • autoriser
  • bloquer
  • ignorer
Autoriser, ignorer ou bloquer le certificat de serveur de session SSL non fiable.
ssl_anomalies_logchaîne de caractères
    Choix :

  • désactiver
  • activer
Activez/désactivez la journalisation des anomalies SSL.
ssl_exemptliste / elements=string Serveurs à exempter de l'inspection SSL.
adressechaîne de caractères Objet adresse IPv4. Source firewall.address.name firewall.addrgrp.name.
adresse6chaîne de caractères Objet adresse IPv6. Source firewall.address6.name firewall.addrgrp6.name.
fortiguard_categorynombre entier ID de la catégorie FortiGuard.
idnombre entier / obligatoire Numéro d'identification.
regexchaîne de caractères Exempter les serveurs par expression régulière.
typechaîne de caractères
    Choix :

  • fortiguard-category
  • adresse
  • adresse6
  • wildcard-fqdn
  • regex
Type d'objet d'adresse (IPv4 ou IPv6) ou catégorie FortiGuard.
wildcard_fqdnchaîne de caractères Exempter les serveurs par FQDN de caractère générique. Source firewall.wildcard-fqdn.custom.name firewall.wildcard-fqdn.group.name.
ssl_exemptions_logchaîne de caractères
    Choix :

  • désactiver
  • activer
Activez/désactivez la journalisation des exemptions SSL.
ssl_serverliste / elements=string Serveurs SSL.
ftps_client_cert_requestchaîne de caractères
    Choix :

  • contourner
  • inspecter
  • bloquer
Action basée sur l'échec de la demande de certificat du client pendant la poignée de main FTPS.
https_client_cert_requestchaîne de caractères
    Choix :

  • contourner
  • inspecter
  • bloquer
Action basée sur l'échec de la demande de certificat du client pendant la poignée de main HTTPS.
idnombre entier / obligatoire ID du serveur SSL.
imaps_client_cert_requestchaîne de caractères
    Choix :

  • contourner
  • inspecter
  • bloquer
Action basée sur l'échec de la demande de certificat du client pendant la poignée de main IMAPS.
ipchaîne de caractères Adresse IPv4 du serveur SSL.
pop3s_client_cert_requestchaîne de caractères
    Choix :

  • contourner
  • inspecter
  • bloquer
Action basée sur l'échec de la demande de certificat du client pendant la poignée de main POP3S.
smtps_client_cert_requestchaîne de caractères
    Choix :

  • contourner
  • inspecter
  • bloquer
Action basée sur l'échec de la demande de certificat du client pendant la poignée de main SMTPS.
ssl_autre_client_cert_requestchaîne de caractères
    Choix :

  • contourner
  • inspecter
  • bloquer
Action basée sur l'échec de la demande de certificat du client pendant une poignée de main du protocole SSL.
étatchaîne de caractères
    Choix :

  • présent
  • absent
Déprécié À partir d'Ansible 2.9, nous recommandons d'utiliser le paramètre supérieur 'state'.Indique s'il faut créer ou supprimer l'objet.
untrusted_canamechaîne de caractères Certificat d'autorité de certification non fiable utilisé par l'inspection SSL. Source vpn.certificate.local.name.
use_ssl_serverchaîne de caractères
    Choix :

  • désactiver
  • activer
Activez/désactivez l'utilisation de la table du serveur SSL pour le délestage SSL.
liste blanchechaîne de caractères
    Choix :

  • activer
  • désactiver
Activez/désactivez l'exemption des serveurs par la liste blanche de FortiGuard.
étatchaîne de caractères ajouté dans la version 2.9 de fortinet.fortios
    Choix :

  • présent
  • absent
Indique s'il faut créer ou supprimer l'objet. Cet attribut était déjà présent dans la version précédente dans un niveau plus profond. Il a été déplacé vers ce niveau extérieur.
vdomchaîne de caractères Par défaut :
"racine"
Domaine virtuel, parmi ceux définis précédemment. Un vdom est une instance virtuelle de la FortiGate qui peut être configurée et utilisée comme une unité différente.

Notes

Note

  • Legacy fortiosapi a été déprécié, httpapi est le moyen préféré pour exécuter les playbooks.

Exemples

-hosts: fortigates
  collections:- fortinet.fortios
  connection: httpapi
  vars:vdom:"root"ansible_httpapi_use_ssl: yes
   ansible_httpapi_validate_certs: no
   ansible_httpapi_port:443tasks:-name: Configure SSL/SSH protocol options.
    fortios_firewall_ssl_ssh_profile:vdom:"{{ vdom }}"state:"present"access_token:""firewall_ssl_ssh_profile:caname:" (source vpn.certificate.local.name)"comment:"Optional comments."ftps:allow_invalid_server_cert:"enable"client_cert_request:"bypass"ports:"8"status:"disable"unsupported_ssl:"bypass"untrusted_cert:"allow"https:allow_invalid_server_cert:"enable"client_cert_request:"bypass"ports:"15"status:"disable"unsupported_ssl:"bypass"untrusted_cert:"allow"imaps:allow_invalid_server_cert:"enable"client_cert_request:"bypass"ports:"22"status:"disable"unsupported_ssl:"bypass"untrusted_cert:"allow"mapi_over_https:"enable"name:"default_name_27"pop3s:allow_invalid_server_cert:"enable"client_cert_request:"bypass"ports:"31"status:"disable"unsupported_ssl:"bypass"untrusted_cert:"allow"rpc_over_https:"enable"server_cert:" (source vpn.certificate.local.name)"server_cert_mode:"re-sign"smtps:allow_invalid_server_cert:"enable"client_cert_request:"bypass"ports:"41"status:"disable"unsupported_ssl:"bypass"untrusted_cert:"allow"ssh:inspect_all:"disable"ports:"47"ssh_algorithm:"compatible"ssh_policy_check:"disable"ssh_tun_policy_check:"disable"status:"disable"unsupported_version:"bypass"ssl:allow_invalid_server_cert:"enable"client_cert_request:"bypass"inspect_all:"disable"unsupported_ssl:"bypass"untrusted_cert:"allow"ssl_anomalies_log:"disable"ssl_exempt:-address:" (source firewall.address.name firewall.addrgrp.name)"address6:" (source firewall.address6.name firewall.addrgrp6.name)"fortiguard_category:"63"id:"64"regex:""type:"fortiguard-category"wildcard_fqdn:" (source firewall.wildcard-fqdn.custom.name firewall.wildcard-fqdn.group.name)"ssl_exemptions_log:"disable"ssl_server:-ftps_client_cert_request:"bypass"https_client_cert_request:"bypass"id:"72"imaps_client_cert_request:"bypass"ip:""pop3s_client_cert_request:"bypass"smtps_client_cert_request:"bypass"ssl_other_client_cert_request:"bypass"untrusted_caname:" (source vpn.certificate.local.name)"use_ssl_server:"disable"whitelist:"enable"

Valeurs de retour

Les valeurs de retour courantes sont documentées ici, les champs suivants sont uniques à ce module :

Clé Renvoyé Description
construirechaîne de caractères toujours Numéro de build de l'image fortigate
Echantillon : 1547
http_methodchaîne de caractères toujours Dernière méthode utilisée pour provisionner le contenu dans FortiGate.
Echantillon : PUT
http_statuschaîne de caractères toujours Dernier résultat donné par FortiGate sur la dernière opération appliquée.
Echantillon : 200
mkeychaîne de caractères succès Clé principale (id) utilisée lors du dernier appel à FortiGate.
Echantillon : id
nomchaîne de caractères toujours Nom de la table utilisée pour répondre à la demande.
Exemple : urlfilter
cheminchaîne de caractères toujours Chemin de la table utilisée pour répondre à la demande.
Exemple : webfilter
révisionchaîne de caractères toujours Numéro de révision interne
Echantillon : 17.0.2.10658
sériechaîne de caractères toujours Numéro de série de l'unité
Echantillon : FGVMEVYYQT3AB5352
statutchaîne de caractères toujours Indication du résultat de l'opération.
Exemple : succès
vdomchaîne de caractères toujours Domaine virtuel utilisé
Echantillon : racine
versionchaîne de caractères toujours Version de la FortiGate
Echantillon : v5.6.3

Auteurs

  • Link Zheng (@chillancezen)
  • Jie Xue (@JieX19)
  • Hongbin Lu (@fgtdev-hblu)
  • Frank Shen (@frankshen01)
  • Miguel Angel Munoz (@mamunozgonzalez)
  • Nicolas Thomas (@thomnico)