设置FortiGate管理员权限

本文档针对所有FortiGate设备的管理员权限配置进行说明。当FortiGate恢复出厂设置后，管理员为admin，密码为空。
环境介绍：
本文使用FortiGate400A做演示。本文支持的系统版本为FortiOS v3.0及更高。
步骤一：新建一个管理员
在系统管理----管理员设置中可以看到现有管理员列表，点击新建创建一个新管理员。
普通管理员：填写管理员用户名，不能包括字符<>()#"'.
类型：
规则：本地用户类型，即用户信息保存在FortiGate中，由FortiGate对用户认证
远端：使用RADIUS、LDAP、TACACS+服务器对用户进行认证，该选项需要预先配置好远端服务器。在设置用户----Remote中配置远端服务器并在用户组中调用。
PKI：使用数字证书进行认证，当使用PKI时同一个账户只能有一个管理员登陆。
通配符：在选择远端时显示，勾选该项则账户会通过远端服务器进行认证，不选则账户通过本地FortiGate认证。
输入密码：建议密码至少使用6位字符，密码******长度不能超过32个字符
可信主机：允许访问FortiGate的IP地址或地址段，FortiGate最多支持三个地址段，0.0.0.0/0.0.0.0表示所有主机都可以访问。
访问表：选择定义好的授权表，也可以创建新的授权表
(点击放大)

(点击放大)

步骤二：配置授权表
在管理员设置----访问内容表中创建新的授权表；FortiGate有两个内建的授权表super_admin（可以完全管理设备）和super_admin_readonly（可以查看设备所有配置，无法修改），这两个内容表无法编辑和删除。
无：用户不能查看配置，不能修改配置
读：用户可以查看配置，不能修改配置
写：用户可以查看配置，能修改配置
(点击放大)

步骤三： 配置管理员设置
在管理员设置----设置中编辑
Web管理接口：指FortiGate设备使用相关协议开放的TCP端口，例如HTTP 80表示FortiGate可以被TCP 80端口访问。
超时控制：指定多长时间内管理员没有管理设备则需要管理员重新登陆
语言版本：选择FortiGate管理页面的语言
GUI中支持IPV6：在管理页面中支持IPV6 配置
激活PIN保护：对某些型号有效，可以设定FortiGate设备前面板中的LCD密码
启用SCP：允许通过SSH登陆的用户复制配置文件
(点击放大)

步骤四：查看当前管理员
在系统管理----状态----系统状态中可以看到当前设备的系统信息，点击前管理员----细节，可以看到当前管理员。
(点击放大)