blog.andreas-schreiner.de

Wissen ist Macht. Nichts wissen macht nichts.

Fortigate admin-Account Passwort Wiederherstellung

von · Veröffentlicht · Aktualisiert

Um das Passwort des admin-Accounts mit Hilfe des maintainer-Accounts zurückzusetzen müssen folgende Voraussetzungen erfüllt sein:

  • PC Terminal Client Software (z.B. PuTTY)
  • Konsolenkabel, je nach Anschluss des Geräts z.B.:
    • Fortigate mit RJ45 Console Port: RJ45-zu-RS232 Kabel, ggf. einen RS232-zu-USB Adapter, falls der PC keinen seriellen Anschluss mehr hat.
    • Fortigate mit USB Console Port: USB-A zu USB-A Kabel
    • Virtuelle Fortigate: hier wird natürlich kein Kabel benötigt, sondern es ist eine Verbindung über das Console Window des Hypervisors zu nutzen
  • Seriennummer der Fortigate
  • FortiOS < 7.2.4 (ab 7.2.4 existiert der maintainer-User nicht mehr)

Als erstes schließt man die Kabel physikalisch am Console Port der Fortigate an, startet den Terminal Client und verbindet sich zur Fortigate mit folgenden COM Einstellungen:

Einstellung       Wert
Baud Rate         9600
Data Bits         8 Bit
Parity            keine
Stop Bits         1
Flow Control      keine Hardware Flow Control
COM Port          <verbundener COM-Port>

Ist die Verbindung erfolgreich, bekommt man ein Console-Login angezeigt mit dem Hostnamen des Geräts (ggf. muss einmal „Enter“ gedrückt werden, um die Bildanzeige zu aktivieren).

Jetzt nachdem die Verbindung erfolgreich getestet ist, muss die Fortigate neu gestartet werden. Dazu wird das Gerät für mind. 10 Sekunden stromlos gemacht und dann wieder angeschlossen.

Der Terminal Client sollte in der Folge den Bootvorgang zeigen, bis ein Login-Prompt angezeigt wird. Dies sieht z.B. so aus:

FortiGate-60E ...
Ver: ...
Serial number: FGT60ETKxxxxxx
CPU(00): ...
Total RAM: ...
Initializing boot device ...
Initializing MAC ...
Please wait for OS to boot, or press any key .....
Booting OS ...
Reading boot image ...
Initializing firewall ...
System is starting ...
...
login:

Sobald der Login-Prompt angezeigt wird, hat man 14 Sekunden Zeit, um sich mit dem maintainer-Account anzumelden:

Username          Password
maintainer        bcpb<Fortigate-Seriennummer>

Das maintainer-Account ist aus Sicherheitsgründen extrem eingeschränkt, die meisten Commands funktionieren nicht. Man kann sich nicht einmal die Systemkonfiguration anzeigen lassen.
Eine der wenigen Rechte ist jedoch, das admin-Account Passwort zu ändern

config system admin
edit admin
set password <neues Passwort>
end
maintainer-Account Status

Erhält man während dem Anmeldeversuch mit dem maintainer-Account eine PASSWORD RECOVERY FUNCTIONALITY IS DISABLED Anzeige in der Konsole, dann wurde der Account administrativ deaktiviert. In diesem Fall ist KEIN Password Recovery über diesen Weg möglich.

Der maintainer-Account kann wie folgt aktiviert/deaktiviert werden:

config system global
set admin-maintainer enable|disable
end

Quellen:
https://docs.fortinet.com

1 Antwort

  1. ich sagt:
    10. Oktober 2023 um 17:14 Uhr

    geht seit 7.2.4 nicht mehr

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.