Fortigate admin-Account Passwort Wiederherstellung
Um das Passwort des admin-Accounts mit Hilfe des maintainer-Accounts zurückzusetzen müssen folgende Voraussetzungen erfüllt sein:
- PC Terminal Client Software (z.B. PuTTY)
- Konsolenkabel, je nach Anschluss des Geräts z.B.:
- Fortigate mit RJ45 Console Port: RJ45-zu-RS232 Kabel, ggf. einen RS232-zu-USB Adapter, falls der PC keinen seriellen Anschluss mehr hat.
- Fortigate mit USB Console Port: USB-A zu USB-A Kabel
- Virtuelle Fortigate: hier wird natürlich kein Kabel benötigt, sondern es ist eine Verbindung über das Console Window des Hypervisors zu nutzen
- Seriennummer der Fortigate
- FortiOS < 7.2.4 (ab 7.2.4 existiert der maintainer-User nicht mehr)
Als erstes schließt man die Kabel physikalisch am Console Port der Fortigate an, startet den Terminal Client und verbindet sich zur Fortigate mit folgenden COM Einstellungen:
Einstellung Wert Baud Rate 9600 Data Bits 8 Bit Parity keine Stop Bits 1 Flow Control keine Hardware Flow Control COM Port <verbundener COM-Port>
Ist die Verbindung erfolgreich, bekommt man ein Console-Login angezeigt mit dem Hostnamen des Geräts (ggf. muss einmal „Enter“ gedrückt werden, um die Bildanzeige zu aktivieren).
Jetzt nachdem die Verbindung erfolgreich getestet ist, muss die Fortigate neu gestartet werden. Dazu wird das Gerät für mind. 10 Sekunden stromlos gemacht und dann wieder angeschlossen.
Der Terminal Client sollte in der Folge den Bootvorgang zeigen, bis ein Login-Prompt angezeigt wird. Dies sieht z.B. so aus:
FortiGate-60E ... Ver: ... Serial number: FGT60ETKxxxxxx CPU(00): ... Total RAM: ... Initializing boot device ... Initializing MAC ... Please wait for OS to boot, or press any key ..... Booting OS ... Reading boot image ... Initializing firewall ... System is starting ... ... login:
Sobald der Login-Prompt angezeigt wird, hat man 14 Sekunden Zeit, um sich mit dem maintainer-Account anzumelden:
Username Password maintainer bcpb<Fortigate-Seriennummer>
Das maintainer-Account ist aus Sicherheitsgründen extrem eingeschränkt, die meisten Commands funktionieren nicht. Man kann sich nicht einmal die Systemkonfiguration anzeigen lassen.
Eine der wenigen Rechte ist jedoch, das admin-Account Passwort zu ändern
config system admin edit admin set password <neues Passwort> end
maintainer-Account Status
Erhält man während dem Anmeldeversuch mit dem maintainer-Account eine PASSWORD RECOVERY FUNCTIONALITY IS DISABLED
Anzeige in der Konsole, dann wurde der Account administrativ deaktiviert. In diesem Fall ist KEIN Password Recovery über diesen Weg möglich.
Der maintainer-Account kann wie folgt aktiviert/deaktiviert werden:
config system global set admin-maintainer enable|disable end
Quellen:
https://docs.fortinet.com
geht seit 7.2.4 nicht mehr