本記事について
本記事では、Fortinet 社のファイアウォール製品である FortiGate について、FortiGate に管理アクセスする際に使用する管理者アカウントの設定変更、及び新規作成を行う方法について説明します。
動作確認環境
本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。
- FortiGate-60F
- バージョン 7.4.3
デフォルトの管理者アカウント「admin」
FortiGate ではデフォルトの管理者アカウントとして「admin」が存在します。工場出荷状態から設定を開始する場合、admin を使用してログインして設定変更していくことになります。
admin のデフォルトパスワードは「パスワード無し」です。最初にログインする際はパスワード欄は入力無しでログインできます。ただし初回ログイン時にパスワードを設定する必要があります。
管理者アカウントの設定項目
管理者アカウントの設定では以下のような項目を設定できます。
- アカウント名
- パスワード
- 管理者プロファイル
- 二要素認証(オプション)
- ログインホスト制限(オプション)
- ゲストユーザ作成のみに権限制限(オプション)
このうち「管理者プロファイル」は管理者アカウントの権限を定義したプロファイルです。各機能へのアクセス権限やコマンドの実行権限などを設定します。管理者アカウントにどのプロファイルを適用するかによって管理者アカウントの権限を制御することができます。
管理者パスワードで使用できる記号
以下の記号はパスワードで使用できることを確認しています。
!"#$%&'()-=^~\|@`[{;+:*]},<.>/?\_既存アカウントのパスワードの変更方法
admin 等の既存アカウントのパスワードを変更する方法を説明します。
GUI でパスワード変更する方法
GUI にログインし左側のメニューから「システム > 管理者」をクリックします。
管理者画面でパスワード変更対象アカウントをクリックして選択状態にし、「編集」をクリックします。
管理者の編集画面が表示されます。「パスワードの変更」をクリックします。
パスワード編集画面では旧パスワードと新パスワードを入力し、「OK」をクリックします。
新しいパスワードでログインできることを確認します。
以上で管理者アカウントのパスワード変更は完了です。
CLI でパスワード変更する方法
CLI で管理者のパスワードを変更する場合はconfig system adminで行います。
管理者アカウント設定のコンフィグ構造は以下のようになっていて、一つのedit項目が一つのアカウントの設定に対応しています。
config system admin
edit "admin"
set accprofile "super_admin"
set vdom "root"
set password ENC SH2XgzyMzsJlrlGl5WQwOBStojeVYYBDDXetPwi/37z1pGWKlq0rmj94Yqk5KA=
next
edit "shade"
set accprofile "prof_admin"
set vdom "root"
set password ENC SH29Nzx5I1fjtDUohuQxlpwAXpNHtiX4wRADMGsrctSSIlkEK+sQ9cdqKbMeTM=
next
edit "shade2"
set accprofile "prof_admin"
set vdom "root"
set password ENC SH2r4MiK03NlsuB2JvjON23HV2u+imWnOjLQ6SLbP+yuO5NMqZIop02APDh/Sc=
next
endパスワードを変更する場合は以下のようにset passwordを設定します。
config system admin
edit "admin"
set password newpassword
next
end以上でパスワードの設定は完了です。
管理者プロファイルの新規作成方法
管理者アカウントの権限は管理者アカウントに適用される管理者プロファイルによって決まります。
デフォルトでは以下の4つのプロファイルが存在します。
- super_admin
- すべての権限を持つ
- admin アカウントに適用されているプロファイル
- 設定変更不可
- super_admin_readonly
- すべての項目について読み込み権限があり書き込み権限はない
- 設定変更不可
- prof_admin
- 全ての項目に読み書き権限がある
- CLI の診断コマンドの実行権限は無い
- 設定変更可能
- admin_no_access
- 全ての権限が無い
- 設定変更不可
上記の他に新規に管理者プロファイルを作成することができます。
管理者プロファイル作成時の注意点
管理者プロファイルは GUI と CLI のどちらでも作成できますが、GUI ではdiagnose以外のコマンド(show, get など) の実行権限の設定ができない上、デフォルトではすべてのコマンドの実行権限が「無し」になります。
よって GUI でプロファイルを作成した場合でも、ほとんどの場合はその後 CLI でコマンド実行権限を有りに設定変更する必要が出てきます。
GUI でプロファイル作成する方法
GUI にログインし左側のメニューから「システム > 管理者プロファイル」をクリックします。
管理者プロファイル画面で左上の「新規作成」をクリックします。
管理者プロファイル設定画面が表示されるため各項目を設定していきます。
まずプロファイル名を入力し、必要な場合はコメントも入力します。
続いてアクセス権限欄を設定します。
- アクセスコントロール欄では各機能についての読み書き権限を設定します。「カスタム」がある項目はさらに細かい項目に細分化して設定できますが、そこまで細かく設定することはほとんど無いでしょう。
- 「CLI診断コマンドの使用を許可」は CLI での「
diagnose ...」コマンドの実行権限の設定です。
最後にアイドルタイムアウトの項目を設定します。
- 「アイドルタイムアウトのオーバーライド」を有効にすると、「システム設定」で設定しているアイドルタイムアウトをこのプロファイルの設定で上書きすることができます
- 「タイムアウトしない」を有効化するとこのプロファイルが適用された管理者アカウントではタイムアウトしなくなります
- 「タイムアウトしない」が無効の場合は「オフライン」欄でタイムアウト時間を設定します
以上の設定できたら画面下部の「OK」をクリックします。
管理者プロファイル画面に戻るため、設定したプロファイルが追加されていることを確認します。
以上で管理者プロファイルの新規作成は完了です。
CLI でプロファイル作成する方法
管理者プロファイル設定に該当する CLI コンフィグ項目はconfig system accprofileです。
config system accprofile
edit "MyProfile"
set comments ''
set secfabgrp read-write
set ftviewgrp read-write
set authgrp read-write
set sysgrp read-write
set netgrp read-write
set loggrp read-write
set fwgrp read-write
set vpngrp read-write
set utmgrp read-write
set wifi read-write
set admintimeout-override enable
set cli-diagnose disable
set cli-get disable
set cli-show disable
set cli-exec disable
set cli-config disable
set system-execute-ssh enable
set system-execute-telnet enable
set admintimeout 10
next
endプロファイル名の設定
プロファイル名はedit項目の ID 値として設定します。
config system accprofile
edit "MyProfile"
...
next
endアクセス制御の設定項目
アクセス制御の設定項目については以下の通りです。
| GUI 項目名 | CLI 設定項目 | デフォルト値 |
|---|---|---|
| セキュリティファブリック | secfabgrp | none |
| FortiView | ftviewgrp | none |
| ユーザ & デバイス | authgrp | none |
| ファイアウォール | fwgrp | none |
| ログ & レポート | loggrp | none |
| ネットワーク | netgrp | none |
| システム | sysgrp | none |
| セキュリティプロファイル | utmgrp | none |
| VPN | vpngrp | none |
| WiFi & スイッチ | wifi | none |
config system accprofile
edit "MyProfile"
set secfabgrp read-write
set ftviewgrp read-write
set authgrp read-write
set fwgrp read-write
set loggrp read-write
set netgrp read-write
set sysgrp read-write
set utmgrp read-write
set vpngrp read-write
set wifi read-write
next
end各項目の設定値は以下の何れかです。
none No access.
read Read access.
read-write Read/write access.
custom Customized access.コマンド実行権限の設定
各種コマンドの実行権限の設定項目は以下の通りです。
| コマンド種別 | CLI 設定項目 | デフォルト値 |
|---|---|---|
| diagnose コマンド | cli-diagnose | disable |
| get コマンド | cli-get | disable |
| show コマンド | cli-show | disable |
| execute コマンド | cli-exec | disable |
| config コマンド | cli-config | disable |
config system accprofile
edit "prof_admin"
set cli-diagnose disable
set cli-get enable
set cli-show enable
set cli-exec enable
set cli-config enable
next
endアイドルタイムアウトのオーバーライド設定
| GUI 項目 | CLI 設定項目 | デフォルト値 |
|---|---|---|
| アイドルタイムアウトのオーバーライド | admintimeout-override | disable |
| オフライン(アイドルタイムアウト) | admintimeout | 10 (分) |
アイドルタイムアウト時間 (admintimeout) は 0-480 の間の値となり、0 に設定した場合タイムアウト無しの意味になります。
config system accprofile
edit "MyProfile"
set admintimeout-override enable
set admintimeout 10
next
end管理者アカウントの新規作成方法
GUI で管理者アカウントを作成する方法
GUI にログインし左側のメニューから「システム > 管理者」をクリックします。
管理者画面で「新規作成 > 管理者」をクリックします。
管理者アカウント設定画面が表示されるため各項目を設定します。
- 「ユーザ名」には任意のユーザ名を入力します
- 「タイプ」では「ローカルユーザ」を選択します
- 「パスワード(再入力)」では作成するユーザのパスワードを入力します
- 「コメント」は必要に応じて説明コメントを入力します
- 「管理者プロファイル」ではユーザに適用したい管理者プロファイルを選択します
- オプションで FortiToken によるワンタイムパスワードを使用した「二要素認証」を設定できます。ここでは詳細は省略します
- 「信頼されるホストにログインを制御」を有効にすると FortiGate へのログインを指定した送信元 IP を持つホストに制限できます
- FortiGate へのログインを許可するホストの IP アドレスを入力します。必要に応じて 10 枠まで増やせます
- このユーザの権限をゲストアカウントの作成のみに制限する場合は有効化しますが、ここでは詳細は省略します
以上の設定ができたら「OK」をクリックします。
管理者画面に戻るため、設定した管理者アカウントが追加されていることを確認します。
作成した管理者アカウントでログインできることを確認します。
以上で管理者アカウントの作成は完了です。
CLI で管理者アカウントを作成する方法
CLI で管理者のパスワードを変更する場合はconfig system adminで行います。
管理者アカウント設定のコンフィグ構造は以下のようになっていて、一つのedit項目が一つのアカウントの設定に対応しています。
config system admin
edit "admin2"
set trusthost1 10.10.11.0 255.255.255.0
set accprofile "MyProfile"
set vdom "root"
set password ENC SH2gfp38EQTmdqOsGxsArdr/u4tqd/RBhRSH21mJQK0umtTJuXcyo5OQwN+CoM=
next
endアカウント名とパスワードの設定
アカウント名はedit項目の ID 値として設定します。またパスワードはset password <パスワード>で設定します。
config system admin
edit "admin2"
set password mypassword
next
endコメントと管理者プロファイルの設定
コメントはset comments、管理者プロファイルはset accprofileで設定します。
config system admin
edit "admin2"
set comments mycomments
set accprofile MyProfile
next
end信頼されるホストの設定
FortiGate へのアクセス制限である「信頼されるホスト」の設定はset trusthost1~set trusthost10で行います。
config system admin
edit "admin2"
set trusthost1 10.10.11.0 255.255.255.0
set trusthost2 0.0.0.0 0.0.0.0
set trusthost3 0.0.0.0 0.0.0.0
set trusthost4 0.0.0.0 0.0.0.0
set trusthost5 0.0.0.0 0.0.0.0
set trusthost6 0.0.0.0 0.0.0.0
set trusthost7 0.0.0.0 0.0.0.0
set trusthost8 0.0.0.0 0.0.0.0
set trusthost9 0.0.0.0 0.0.0.0
set trusthost10 0.0.0.0 0.0.0.0
next
endデフォルト値は上記例のように0.0.0.0 0.0.0.0となっています。設定が必要な数だけ設定して、他はデフォルトのままで問題ありません。
以上です。
【おすすめ】FortiGate の設計構築中なら以下の記事も役立つかもです
- 基礎知識
- HA (冗長構成) 設定
- FortiGate HA モードの Active-Passive と Active-Active の違いを解説します
- FortiGate HA(冗長構成)の概要と設定ガイド【詳しく解説】※note記事
- FortiGate HA 構成時のコンフィグ同期の仕様について解説します
- FortiGate HA 構成時の NTP,Syslog,SNMP 等の送信元インターフェースを解説 [ha-direct 設定]
- FortiGate HA 構成時の仮想 MAC アドレスについて解説します
- FortiGate HA ハートビート送信間隔と障害判定しきい値の設定ガイド
- FortiGate HA 構成時のバックアップ及びリストア実施ガイド
- FortiGate HA 構成でのモニタインターフェースダウン時の通信断時間について解説
- FortiGate HA 構成に関するQ&A 【良くありそうな疑問集】
- VDOM (バーチャルドメイン) 設定
- トランスペアレントモード設定
- システム系設定
- 管理者アカウント設定
- 時刻・NTP 設定
- ロギング・Syslog 送信設定
- SNMP 設定
- DHCP サーバ機能設定
- Proxy サーバ機能設定
- アラートメール送信
- ネットワーク系設定
- インターフェース設定
- ルーティング設定
- DNS 設定
- NAT 及び NAPT 設定
- ファイアウォール系設定
- アドレス設定
- サービス設定
- ファイアウォールポリシー設定
- ゾーンを使用したポリシー設定
- VPN 系設定
- Tips
Amazon アフィリエイトリンク
以下は Amazon アフィリエイトリンクです。インフラエンジニアにそこそこおすすめなアイテムです。
note メンバーシップへの参加もお待ちしています!
【アフィリエイト】おすすめ WordPress テーマ【SWELL】
当サイトでは WordPress テーマとして SWELL を使用しています。以前は無料・高機能テーマとして知られる Cocoon を使用していて Cocoon も使いやすかったのですが、SWELL を使い始めてからは SWELL のほうが圧倒的に使いやすいなと思いました。そして何より読み込み速度が速い。SWELL を使い始めてから、過去の Cocoon のブログを見直したときに「あれ、こんなに表示遅かったっけ?」という感覚になりました。
また SWELL はデフォルトでもオシャレなデザインですが柔軟にカスタマイズすることもでき個性のあるサイトを作成できます。さらにブログパーツや広告タグといった再利用可能なブログの「部品」も作成することができ、ブログ作成効率も高いです。
技術ブログやアフィリエイト等での収益化を見据えたブログの作成に SWELL は最適です。初見では価格が高いなと思うと思いますが、私としては SWELL を採用して良かったしそれ以上の価値があると感じています。
ブログの新設やテーマ変更を考えている人は一度 SWELL を検討してみてください。
以下の画像リンクから詳細な情報を確認できます。
レンタルサーバーを探している人には安定性に定評のあるエックスサーバーをお勧めします。
当サイトもエックスサーバーを使用しています。WordPress のインストールも簡単にできます。
コメント