FortiGate で管理者アカウントを作成する手順(v6.2.4)

ファイアウォール(UTM)

はじめに

FortiGate では、デフォルトで管理者アカウントとして admin が存在しますが、別の管理者アカウントを作成することができます。また、管理者アカウントに紐づける管理者プロファイルによって、その管理者アカウントの権限を設定することができます。

作業環境

  • 型番:FortiGate 60E
  • ファームウェアバージョン:v6.2.4

管理者アカウントの新規作成手順

GUI で設定する場合

[システム] → [管理者] と選択した画面にて、[新規作成] → [管理者] と選択します。

以下の新規管理者画面になるため、各項目を設定します。

  • タイプ → [ローカルユーザ] を選択します
  • 管理者プロファイル → 作成する管理者アカウントに付与する権限として適切な管理者プロファイルを選択します
    • [super_admin] はすべての項目についての読み書き権限があります
  • 信頼されるホストにログインを制限
    • 当該アカウントでのログインを許可する送信元 IP アドレスを指定することができます
    • 必要な場合は設定します

各項目が設定できたら [OK] をクリックします。

管理者画面にて、作成した管理者アカウントが追加されたことを確認します。

一度 GUI からログアウトし、作成した管理者アカウントでログインできることを確認します。

以上です。

CLI で設定する場合

管理者設定に対応するコンフィグ項目は config system admin です。

前項の GUI での設定を行った後のコンフィグは以下の通りです。

FW01 # show system admin
config system admin
    (略)
    edit "hogepiyo"
        set accprofile "super_admin"
        set vdom "root"
        set password ENC SH2Azc4GMwgVY7nETin8nf9bOBjpM3hm+So3aVMqvetvFjNRqxTmqV6ScsYjlY=
    next
end

FW01 # show full-configuration system admin
config system admin
    (略)
    edit "hogepiyo"
        set remote-auth disable
        set peer-auth disable
        set trusthost1 0.0.0.0 0.0.0.0
        set trusthost2 0.0.0.0 0.0.0.0
        set trusthost3 0.0.0.0 0.0.0.0
        set trusthost4 0.0.0.0 0.0.0.0
        set trusthost5 0.0.0.0 0.0.0.0
        set trusthost6 0.0.0.0 0.0.0.0
        set trusthost7 0.0.0.0 0.0.0.0
        set trusthost8 0.0.0.0 0.0.0.0
        set trusthost9 0.0.0.0 0.0.0.0
        set trusthost10 0.0.0.0 0.0.0.0
        set ip6-trusthost1 ::/0
        set ip6-trusthost2 ::/0
        set ip6-trusthost3 ::/0
        set ip6-trusthost4 ::/0
        set ip6-trusthost5 ::/0
        set ip6-trusthost6 ::/0
        set ip6-trusthost7 ::/0
        set ip6-trusthost8 ::/0
        set ip6-trusthost9 ::/0
        set ip6-trusthost10 ::/0
        set accprofile "super_admin"
        set comments ''
        set vdom "root"
        unset ssh-public-key1
        unset ssh-public-key2
        unset ssh-public-key3
        set ssh-certificate ''
        set schedule ''
        set two-factor disable
        set email-to ''
        set sms-server fortiguard
        set sms-phone ''
        set guest-auth disable
        set password ENC SH2Azc4GMwgVY7nETin8nf9bOBjpM3hm+So3aVMqvetvFjNRqxTmqV6ScsYjlY=
        set allow-remove-admin-session enable
    next
end

GUI の設定項目との対応は以下の通りです。

  • ユーザ名:hogepiyo
    • edit "hogepiyo"
  • タイプ:ローカルユーザ
    • set remote-auth disable (デフォルト)
  • パスワード
    • set password <パスワード> ※設定時は「ENC」は不要
  • 管理者プロファイル:super_admin
    • set accprofile "super_admin"
  • 信頼されるホストにログインを制限
    • set trusthost1 x.x.x.x y.y.y.y ※trusthost10 まで設定可能

管理者プロファイルの新規作成手順

GUI で設定する場合

[システム] → [管理者プロファイル] と選択した画面にて、[新規作成] を選択します。

以下の管理者プロファイル作成画面になるため、各項目を設定します。

各項目を設定できたら [OK] をクリックします。

管理者プロファイル画面で作成した管理者プロファイルが表示されていることを確認します。

以上です。

CLI で設定する場合

管理者設定に対応するコンフィグ項目は config system admin です。

前項の GUI での設定を行った後のコンフィグは以下の通りです。

FW01 # show system accprofile
config system accprofile
    (略)
    edit "hoge_profile"
        set authgrp read
        set sysgrp read-write
        set netgrp read-write
        set loggrp read
        set fwgrp custom
        set vpngrp read-write
        set utmgrp read-write
        set wifi read-write
        set admintimeout-override enable
        config fwgrp-permission
            set address read
            set service read-write
        end
    next
end

FW01 # show full-configuration system accprofile
config system accprofile
    (略)
    edit "hoge_profile"
        set comments ''
        set secfabgrp none
        set ftviewgrp none
        set authgrp read
        set sysgrp read-write
        set netgrp read-write
        set loggrp read
        set fwgrp custom
        set vpngrp read-write
        set utmgrp read-write
        set wifi read-write
        set admintimeout-override enable
        config fwgrp-permission
            set policy none
            set address read
            set service read-write
            set schedule none
        end
        set admintimeout 10
    next
end

GUI の設定項目との対応は以下の通りです。

  • プロファイル名:hoge_profile
    • edit "hoge_profile"
  • アイドルタイムアウトのオーバーライド:ON
    • set admintimeout-override enable ※設定時は「ENC」は不要
  • 信頼されるホストにログインを制限
    • set trusthost1 x.x.x.x y.y.y.y ※trusthost10 まで設定可能
    • オフライン:10分 の場合
      • set admintimeout 10
    • タイムアウトなし の場合
      • set admintimeout 0

各権限項目で設定可能な値は以下の通りです。

FW01 (hoge_profile) # set secfabgrp
none          No access.
read          Read access.
read-write    Read/write access.

カスタム設定ができる項目については、カスタム設定をする場合は以下の様に記載します。

FW01 (hoge_profile)config system accprofile
    edit "hoge_profile"
        set sysgrp custom
        set netgrp custom
        set loggrp custom
        set fwgrp custom
        set utmgrp custom
        config sysgrp-permission
            set admin read-write
            set upd read-write
            set cfg read-write
            set mnt read-write
        end
        config fwgrp-permission
            set policy read-write
            set address read-write
            set service read-write
            set schedule read-write
        end
        config loggrp-permission
            set config read-write
            set data-access read-write
            set report-access read-write
            set threat-weight read-write
        end
        config utmgrp-permission
            set antivirus read-write
            set ips read-write
            set webfilter read-write
            set emailfilter read-write
            set data-loss-prevention read-write
            set application-control read-write
            set icap read-write
            set voip read-write
            set waf read-write
            set dnsfilter read-write
            set endpoint-control read-write
        end
    next
end

―――――――――――――

タイトルとURLをコピーしました