はじめに
FortiGate では、デフォルトで管理者アカウントとして admin
が存在しますが、別の管理者アカウントを作成することができます。また、管理者アカウントに紐づける管理者プロファイルによって、その管理者アカウントの権限を設定することができます。
作業環境
- 型番:FortiGate 60E
- ファームウェアバージョン:v6.2.4
管理者アカウントの新規作成手順
GUI で設定する場合
[システム] → [管理者] と選択した画面にて、[新規作成] → [管理者] と選択します。
以下の新規管理者画面になるため、各項目を設定します。
- タイプ → [ローカルユーザ] を選択します
- 管理者プロファイル → 作成する管理者アカウントに付与する権限として適切な管理者プロファイルを選択します
- [super_admin] はすべての項目についての読み書き権限があります
- 信頼されるホストにログインを制限
- 当該アカウントでのログインを許可する送信元 IP アドレスを指定することができます
- 必要な場合は設定します
各項目が設定できたら [OK] をクリックします。
管理者画面にて、作成した管理者アカウントが追加されたことを確認します。
一度 GUI からログアウトし、作成した管理者アカウントでログインできることを確認します。
以上です。
CLI で設定する場合
管理者設定に対応するコンフィグ項目は config system admin
です。
前項の GUI での設定を行った後のコンフィグは以下の通りです。
FW01 # show system admin
config system admin
(略)
edit "hogepiyo"
set accprofile "super_admin"
set vdom "root"
set password ENC SH2Azc4GMwgVY7nETin8nf9bOBjpM3hm+So3aVMqvetvFjNRqxTmqV6ScsYjlY=
next
end
FW01 # show full-configuration system admin
config system admin
(略)
edit "hogepiyo"
set remote-auth disable
set peer-auth disable
set trusthost1 0.0.0.0 0.0.0.0
set trusthost2 0.0.0.0 0.0.0.0
set trusthost3 0.0.0.0 0.0.0.0
set trusthost4 0.0.0.0 0.0.0.0
set trusthost5 0.0.0.0 0.0.0.0
set trusthost6 0.0.0.0 0.0.0.0
set trusthost7 0.0.0.0 0.0.0.0
set trusthost8 0.0.0.0 0.0.0.0
set trusthost9 0.0.0.0 0.0.0.0
set trusthost10 0.0.0.0 0.0.0.0
set ip6-trusthost1 ::/0
set ip6-trusthost2 ::/0
set ip6-trusthost3 ::/0
set ip6-trusthost4 ::/0
set ip6-trusthost5 ::/0
set ip6-trusthost6 ::/0
set ip6-trusthost7 ::/0
set ip6-trusthost8 ::/0
set ip6-trusthost9 ::/0
set ip6-trusthost10 ::/0
set accprofile "super_admin"
set comments ''
set vdom "root"
unset ssh-public-key1
unset ssh-public-key2
unset ssh-public-key3
set ssh-certificate ''
set schedule ''
set two-factor disable
set email-to ''
set sms-server fortiguard
set sms-phone ''
set guest-auth disable
set password ENC SH2Azc4GMwgVY7nETin8nf9bOBjpM3hm+So3aVMqvetvFjNRqxTmqV6ScsYjlY=
set allow-remove-admin-session enable
next
end
GUI の設定項目との対応は以下の通りです。
- ユーザ名:hogepiyo
edit "hogepiyo"
- タイプ:ローカルユーザ
set remote-auth disable
(デフォルト)
- パスワード
set password <パスワード>
※設定時は「ENC」は不要
- 管理者プロファイル:super_admin
set accprofile "super_admin"
- 信頼されるホストにログインを制限
set trusthost1 x.x.x.x y.y.y.y
※trusthost10 まで設定可能
管理者プロファイルの新規作成手順
GUI で設定する場合
[システム] → [管理者プロファイル] と選択した画面にて、[新規作成] を選択します。
以下の管理者プロファイル作成画面になるため、各項目を設定します。
各項目を設定できたら [OK] をクリックします。
管理者プロファイル画面で作成した管理者プロファイルが表示されていることを確認します。
以上です。
CLI で設定する場合
管理者設定に対応するコンフィグ項目は config system admin
です。
前項の GUI での設定を行った後のコンフィグは以下の通りです。
FW01 # show system accprofile
config system accprofile
(略)
edit "hoge_profile"
set authgrp read
set sysgrp read-write
set netgrp read-write
set loggrp read
set fwgrp custom
set vpngrp read-write
set utmgrp read-write
set wifi read-write
set admintimeout-override enable
config fwgrp-permission
set address read
set service read-write
end
next
end
FW01 # show full-configuration system accprofile
config system accprofile
(略)
edit "hoge_profile"
set comments ''
set secfabgrp none
set ftviewgrp none
set authgrp read
set sysgrp read-write
set netgrp read-write
set loggrp read
set fwgrp custom
set vpngrp read-write
set utmgrp read-write
set wifi read-write
set admintimeout-override enable
config fwgrp-permission
set policy none
set address read
set service read-write
set schedule none
end
set admintimeout 10
next
end
GUI の設定項目との対応は以下の通りです。
- プロファイル名:hoge_profile
edit "hoge_profile"
- アイドルタイムアウトのオーバーライド:ON
set admintimeout-override enable
※設定時は「ENC」は不要
- 信頼されるホストにログインを制限
set trusthost1 x.x.x.x y.y.y.y
※trusthost10 まで設定可能- オフライン:10分 の場合
set admintimeout 10
- タイムアウトなし の場合
set admintimeout 0
各権限項目で設定可能な値は以下の通りです。
FW01 (hoge_profile) # set secfabgrp
none No access.
read Read access.
read-write Read/write access.
カスタム設定ができる項目については、カスタム設定をする場合は以下の様に記載します。
FW01 (hoge_profile)config system accprofile
edit "hoge_profile"
set sysgrp custom
set netgrp custom
set loggrp custom
set fwgrp custom
set utmgrp custom
config sysgrp-permission
set admin read-write
set upd read-write
set cfg read-write
set mnt read-write
end
config fwgrp-permission
set policy read-write
set address read-write
set service read-write
set schedule read-write
end
config loggrp-permission
set config read-write
set data-access read-write
set report-access read-write
set threat-weight read-write
end
config utmgrp-permission
set antivirus read-write
set ips read-write
set webfilter read-write
set emailfilter read-write
set data-loss-prevention read-write
set application-control read-write
set icap read-write
set voip read-write
set waf read-write
set dnsfilter read-write
set endpoint-control read-write
end
next
end
―――――――――――――