设置FortiGate管理员权限
本文档针对所有FortiGate设备的管理员权限配置进行说明。当FortiGate恢复出厂设置后,管理员为admin,密码为空。
环境介绍:
本文使用FortiGate400A做演示。本文支持的系统版本为FortiOS v3.0及更高。
步骤一:新建一个管理员
在系统管理----管理员设置中可以看到现有管理员列表,点击新建创建一个新管理员。
普通管理员:填写管理员用户名,不能包括字符<>()#"'.
类型:
规则:本地用户类型,即用户信息保存在FortiGate中,由FortiGate对用户认证
远端:使用RADIUS、LDAP、TACACS+服务器对用户进行认证,该选项需要预先配置好远端服务器。在设置用户----Remote中配置远端服务器并在用户组中调用。
PKI:使用数字证书进行认证,当使用PKI时同一个账户只能有一个管理员登陆。
通配符:在选择远端时显示,勾选该项则账户会通过远端服务器进行认证,不选则账户通过本地FortiGate认证。
输入密码:建议密码至少使用6位字符,密码******长度不能超过32个字符
可信主机:允许访问FortiGate的IP地址或地址段,FortiGate最多支持三个地址段,0.0.0.0/0.0.0.0表示所有主机都可以访问。
访问表:选择定义好的授权表,也可以创建新的授权表
(点击放大)
(点击放大)
步骤二:配置授权表
在管理员设置----访问内容表中创建新的授权表;FortiGate有两个内建的授权表super_admin(可以完全管理设备)和super_admin_readonly(可以查看设备所有配置,无法修改),这两个内容表无法编辑和删除。
无:用户不能查看配置,不能修改配置
读:用户可以查看配置,不能修改配置
写:用户可以查看配置,能修改配置
(点击放大)
步骤三: 配置管理员设置
在管理员设置----设置中编辑
Web管理接口:指FortiGate设备使用相关协议开放的TCP端口,例如HTTP 80表示FortiGate可以被TCP 80端口访问。
超时控制:指定多长时间内管理员没有管理设备则需要管理员重新登陆
语言版本:选择FortiGate管理页面的语言
GUI中支持IPV6:在管理页面中支持IPV6 配置
激活PIN保护:对某些型号有效,可以设定FortiGate设备前面板中的LCD密码
启用SCP:允许通过SSH登陆的用户复制配置文件
(点击放大)
步骤四:查看当前管理员
在系统管理----状态----系统状态中可以看到当前设备的系统信息,点击前管理员----细节,可以看到当前管理员。
(点击放大)