【注意】FortiGate ver.7.4.5 からすべてのモデルでファームウェア自動更新機能がデフォルト有効になりました> Membership

FortiGate 管理者アカウントの設定変更及び新規作成ガイド

目次

本記事について

本記事では、Fortinet 社のファイアウォール製品である FortiGate について、FortiGate に管理アクセスする際に使用する管理者アカウントの設定変更、及び新規作成を行う方法について説明します。

動作確認環境

本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。

  • FortiGate-60F
    • バージョン 7.4.3

デフォルトの管理者アカウント「admin」

FortiGate ではデフォルトの管理者アカウントとして「admin」が存在します。工場出荷状態から設定を開始する場合、admin を使用してログインして設定変更していくことになります。

admin のデフォルトパスワードは「パスワード無し」です。最初にログインする際はパスワード欄は入力無しでログインできます。ただし初回ログイン時にパスワードを設定する必要があります。

管理者アカウントの設定項目

管理者アカウントの設定では以下のような項目を設定できます。

管理者アカウントの設定項目
  • アカウント名
  • パスワード
  • 管理者プロファイル
  • 二要素認証(オプション)
  • ログインホスト制限(オプション)
  • ゲストユーザ作成のみに権限制限(オプション)

このうち「管理者プロファイル」は管理者アカウントの権限を定義したプロファイルです。各機能へのアクセス権限やコマンドの実行権限などを設定します。管理者アカウントにどのプロファイルを適用するかによって管理者アカウントの権限を制御することができます。

管理者パスワードで使用できる記号

以下の記号はパスワードで使用できることを確認しています。

!"#$%&'()-=^~\|@`[{;+:*]},<.>/?\_

既存アカウントのパスワードの変更方法

admin 等の既存アカウントのパスワードを変更する方法を説明します。

GUI でパスワード変更する方法

STEP
管理者画面の表示

GUI にログインし左側のメニューから「システム > 管理者」をクリックします。

STEP
管理者アカウント編集画面の表示

管理者画面でパスワード変更対象アカウントをクリックして選択状態にし、「編集」をクリックします。

対象アカウントをダブルクリックすることでも編集画面を表示できます。

STEP
パスワード変更画面の表示

管理者の編集画面が表示されます。「パスワードの変更」をクリックします。

STEP
新パスワードの設定

パスワード編集画面では旧パスワードと新パスワードを入力し、「OK」をクリックします。

現在ログイン中のアカウントのパスワードを変更する場合は、パスワード変更後(「OK」クリック後)にログアウトされ、以後は新パスワードでログインが必要となります

admin 以外の管理者アカウントでログインしている場合は自分以外のアカウントのパスワードを変更することはできません。

STEP
新パスワードで再ログイン

新しいパスワードでログインできることを確認します。

以上で管理者アカウントのパスワード変更は完了です。

CLI でパスワード変更する方法

CLI で管理者のパスワードを変更する場合はconfig system adminで行います。

管理者アカウント設定のコンフィグ構造は以下のようになっていて、一つのedit項目が一つのアカウントの設定に対応しています。

config system admin
    edit "admin"
        set accprofile "super_admin"
        set vdom "root"
        set password ENC SH2XgzyMzsJlrlGl5WQwOBStojeVYYBDDXetPwi/37z1pGWKlq0rmj94Yqk5KA=
    next
    edit "shade"
        set accprofile "prof_admin"
        set vdom "root"
        set password ENC SH29Nzx5I1fjtDUohuQxlpwAXpNHtiX4wRADMGsrctSSIlkEK+sQ9cdqKbMeTM=
    next
    edit "shade2"
        set accprofile "prof_admin"
        set vdom "root"
        set password ENC SH2r4MiK03NlsuB2JvjON23HV2u+imWnOjLQ6SLbP+yuO5NMqZIop02APDh/Sc=
    next
end

パスワードを変更する場合は以下のようにset passwordを設定します。

現在ログイン中のアカウントのパスワードを変更する場合は、パスワード変更後(「end」入力後)にログアウトされ、以後は新パスワードでログインが必要となります

config system admin
    edit "admin"
        set password newpassword
    next
end

以上でパスワードの設定は完了です。

管理者プロファイルの新規作成方法

管理者アカウントの権限は管理者アカウントに適用される管理者プロファイルによって決まります。

デフォルトでは以下の4つのプロファイルが存在します。

デフォルトの管理者プロファイル
  • super_admin
    • すべての権限を持つ
    • admin アカウントに適用されているプロファイル
    • 設定変更不可
  • super_admin_readonly
    • すべての項目について読み込み権限があり書き込み権限はない
    • 設定変更不可
  • prof_admin
    • 全ての項目に読み書き権限がある
    • CLI の診断コマンドの実行権限は無い
    • 設定変更可能
  • admin_no_access
    • 全ての権限が無い
    • 設定変更不可

上記の他に新規に管理者プロファイルを作成することができます。

管理者プロファイル作成時の注意点

管理者プロファイルは GUI と CLI のどちらでも作成できますが、GUI ではdiagnose以外のコマンド(show, get など) の実行権限の設定ができない上、デフォルトではすべてのコマンドの実行権限が「無し」になります

よって GUI でプロファイルを作成した場合でも、ほとんどの場合はその後 CLI でコマンド実行権限を有りに設定変更する必要が出てきます。

GUI でプロファイル作成する方法

STEP
管理者プロファイル画面の表示

GUI にログインし左側のメニューから「システム > 管理者プロファイル」をクリックします。

STEP
管理者プロファイル新規作成画面の表示

管理者プロファイル画面で左上の「新規作成」をクリックします。

STEP
管理者プロファイルの設定

管理者プロファイル設定画面が表示されるため各項目を設定していきます。

まずプロファイル名を入力し、必要な場合はコメントも入力します。

続いてアクセス権限欄を設定します。

  • アクセスコントロール欄では各機能についての読み書き権限を設定します。「カスタム」がある項目はさらに細かい項目に細分化して設定できますが、そこまで細かく設定することはほとんど無いでしょう。
  • CLI診断コマンドの使用を許可」は CLI での「diagnose ...」コマンドの実行権限の設定です。

最後にアイドルタイムアウトの項目を設定します。

  • アイドルタイムアウトのオーバーライド」を有効にすると、「システム設定」で設定しているアイドルタイムアウトをこのプロファイルの設定で上書きすることができます
  • タイムアウトしない」を有効化するとこのプロファイルが適用された管理者アカウントではタイムアウトしなくなります
  • タイムアウトしない」が無効の場合は「オフライン」欄でタイムアウト時間を設定します

以上の設定できたら画面下部の「OK」をクリックします。

STEP
設定の確認

管理者プロファイル画面に戻るため、設定したプロファイルが追加されていることを確認します。

以上で管理者プロファイルの新規作成は完了です。

CLI でプロファイル作成する方法

管理者プロファイル設定に該当する CLI コンフィグ項目はconfig system accprofileです。

config system accprofile
    edit "MyProfile"
        set comments ''
        set secfabgrp read-write
        set ftviewgrp read-write
        set authgrp read-write
        set sysgrp read-write
        set netgrp read-write
        set loggrp read-write
        set fwgrp read-write
        set vpngrp read-write
        set utmgrp read-write
        set wifi read-write
        set admintimeout-override enable
        set cli-diagnose disable
        set cli-get disable
        set cli-show disable
        set cli-exec disable
        set cli-config disable
        set system-execute-ssh enable
        set system-execute-telnet enable
        set admintimeout 10
    next
end

プロファイル名の設定

プロファイル名はedit項目の ID 値として設定します。

config system accprofile
    edit "MyProfile"
        ...
    next
end

アクセス制御の設定項目

アクセス制御の設定項目については以下の通りです。

GUI 項目名CLI 設定項目デフォルト値
セキュリティファブリックsecfabgrpnone
FortiViewftviewgrpnone
ユーザ & デバイスauthgrpnone
ファイアウォールfwgrpnone
ログ & レポートloggrpnone
ネットワークnetgrpnone
システムsysgrpnone
セキュリティプロファイルutmgrpnone
VPNvpngrpnone
WiFi & スイッチwifinone
config system accprofile
    edit "MyProfile"
        set secfabgrp read-write
        set ftviewgrp read-write
        set authgrp read-write
        set fwgrp read-write
        set loggrp read-write
        set netgrp read-write
        set sysgrp read-write
        set utmgrp read-write
        set vpngrp read-write
        set wifi read-write
    next
end

各項目の設定値は以下の何れかです。

none          No access.
read          Read access.
read-write    Read/write access.
custom        Customized access.

customは特定の項目のみで設定できます。

コマンド実行権限の設定

各種コマンドの実行権限の設定項目は以下の通りです。

コマンド種別CLI 設定項目デフォルト値
diagnose コマンドcli-diagnosedisable
get コマンドcli-getdisable
show コマンドcli-showdisable
execute コマンドcli-execdisable
config コマンドcli-configdisable
config system accprofile
    edit "prof_admin"
        set cli-diagnose disable
        set cli-get enable
        set cli-show enable
        set cli-exec enable
        set cli-config enable
    next
end

アイドルタイムアウトのオーバーライド設定

GUI 項目CLI 設定項目デフォルト値
アイドルタイムアウトのオーバーライドadmintimeout-overridedisable
オフライン(アイドルタイムアウト)admintimeout10 (分)

アイドルタイムアウト時間 (admintimeout) は 0-480 の間の値となり、0 に設定した場合タイムアウト無しの意味になります。

config system accprofile
    edit "MyProfile"
        set admintimeout-override enable
        set admintimeout 10
    next
end

管理者アカウントの新規作成方法

GUI で管理者アカウントを作成する方法

STEP
管理者画面の表示

GUI にログインし左側のメニューから「システム > 管理者」をクリックします。

STEP
管理者アカウント新規作成画面の表示

管理者画面で「新規作成 > 管理者」をクリックします。

STEP
管理者アカウントの設定

管理者アカウント設定画面が表示されるため各項目を設定します。

  • ユーザ名」には任意のユーザ名を入力します
  • タイプ」では「ローカルユーザ」を選択します
  • パスワード(再入力)」では作成するユーザのパスワードを入力します
  • コメント」は必要に応じて説明コメントを入力します
  • 管理者プロファイル」ではユーザに適用したい管理者プロファイルを選択します
  • オプションで FortiToken によるワンタイムパスワードを使用した「二要素認証」を設定できます。ここでは詳細は省略します
  • 信頼されるホストにログインを制御」を有効にすると FortiGate へのログインを指定した送信元 IP を持つホストに制限できます
  • FortiGate へのログインを許可するホストの IP アドレスを入力します。必要に応じて 10 枠まで増やせます
  • このユーザの権限をゲストアカウントの作成のみに制限する場合は有効化しますが、ここでは詳細は省略します

以上の設定ができたら「OK」をクリックします。

STEP
設定の確認

管理者画面に戻るため、設定した管理者アカウントが追加されていることを確認します。

STEP
ログイン確認

作成した管理者アカウントでログインできることを確認します。

以上で管理者アカウントの作成は完了です。

CLI で管理者アカウントを作成する方法

CLI で管理者のパスワードを変更する場合はconfig system adminで行います。

管理者アカウント設定のコンフィグ構造は以下のようになっていて、一つのedit項目が一つのアカウントの設定に対応しています。

config system admin
    edit "admin2"
        set trusthost1 10.10.11.0 255.255.255.0
        set accprofile "MyProfile"
        set vdom "root"
        set password ENC SH2gfp38EQTmdqOsGxsArdr/u4tqd/RBhRSH21mJQK0umtTJuXcyo5OQwN+CoM=
    next
end

アカウント名とパスワードの設定

アカウント名はedit項目の ID 値として設定します。またパスワードはset password <パスワード>で設定します。

config system admin
    edit "admin2"
        set password mypassword
    next
end

コメントと管理者プロファイルの設定

コメントはset comments、管理者プロファイルはset accprofileで設定します。

config system admin
    edit "admin2"
        set comments mycomments
        set accprofile MyProfile
    next
end

信頼されるホストの設定

FortiGate へのアクセス制限である「信頼されるホスト」の設定はset trusthost1~set trusthost10で行います。

config system admin
    edit "admin2"
        set trusthost1 10.10.11.0 255.255.255.0
        set trusthost2 0.0.0.0 0.0.0.0
        set trusthost3 0.0.0.0 0.0.0.0
        set trusthost4 0.0.0.0 0.0.0.0
        set trusthost5 0.0.0.0 0.0.0.0
        set trusthost6 0.0.0.0 0.0.0.0
        set trusthost7 0.0.0.0 0.0.0.0
        set trusthost8 0.0.0.0 0.0.0.0
        set trusthost9 0.0.0.0 0.0.0.0
        set trusthost10 0.0.0.0 0.0.0.0
    next
end

デフォルト値は上記例のように0.0.0.0 0.0.0.0となっています。設定が必要な数だけ設定して、他はデフォルトのままで問題ありません。

以上です。


【おすすめ】FortiGate の設計構築中なら以下の記事も役立つかもです

Amazon アフィリエイトリンク

以下は Amazon アフィリエイトリンクです。インフラエンジニアにそこそこおすすめなアイテムです。

note メンバーシップへの参加もお待ちしています!

note(ノート)
陰の構築者たちのメンバーシップ|シェイド@陰の構築者 ネットワーク設計構築をする人に役立つメンバーシップです。 独自ブログ(https://shadowgarden.org/)にてネットワークエンジニア向け情報を発信しており、その活動を応援...

【アフィリエイト】おすすめ WordPress テーマ【SWELL

当サイトでは WordPress テーマとして SWELL を使用しています。以前は無料・高機能テーマとして知られる Cocoon を使用していて Cocoon も使いやすかったのですが、SWELL を使い始めてからは SWELL のほうが圧倒的に使いやすいなと思いました。そして何より読み込み速度が速い。SWELL を使い始めてから、過去の Cocoon のブログを見直したときに「あれ、こんなに表示遅かったっけ?」という感覚になりました。

また SWELL はデフォルトでもオシャレなデザインですが柔軟にカスタマイズすることもでき個性のあるサイトを作成できます。さらにブログパーツや広告タグといった再利用可能なブログの「部品」も作成することができ、ブログ作成効率も高いです。

技術ブログやアフィリエイト等での収益化を見据えたブログの作成に SWELL は最適です。初見では価格が高いなと思うと思いますが、私としては SWELL を採用して良かったしそれ以上の価値があると感じています。
ブログの新設やテーマ変更を考えている人は一度 SWELL を検討してみてください。
以下の画像リンクから詳細な情報を確認できます。

レンタルサーバーを探している人には安定性に定評のあるエックスサーバーをお勧めします。
当サイトもエックスサーバーを使用しています。WordPress のインストールも簡単にできます。

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

目次