원문출처 : https://ebt-forti.tistory.com/79
Product : FortiGate
Detail : FortiGate의 관리자 비밀번호를 분실 하였을 때의 대처방법
1. FortiGate Maintainer 계정에 대해서
2. 복구 방법
3. FortiOS v7.2.4부터 Maintainer 계정 삭제
Solution :
-1. FortiGate Maintainer 계정에 대해서
FortiGate에서는 Admin권한 유저의 패스워드 분실을 해결하기 위해
Maintainer라는 복구 전용 ID가 존재함.
이는 제한된 권한만을 가진 특수계정으로 GUI 및 CLI상에서 유저로 표시되지 않음.
Maintainer 계정의 특징은 다음과 같음.
-FortiGate의 물리적인 전원제거 후에만 접속 가능 (execute reboot 등으로는 접속 불가)
-제한된 명령어만 사용가능 (Show 등의 명령어 사용 불가)
-접속 비밀번호는 bcpb+각 장비의 Serial Number임. 대소문자 구분. (ex. bcpbFG80E4Q12345678)
-모델별로 상이하지만, 재부팅 후, 약 60초 안에 로그인 완료하여야만 접속 가능
-VM버전 등에서는 미지원. 스냅샷이냐 re-provisioning 사용할 것
-2. 복구 방법
1) 메모장 등의 택스트 편집기에 ID 및 비밀번호를 입력하여, 복사/붙여넣기 할 준비를 한다.
(영문 타이핑이 느리거나, 오타로 인한 접속실패 가능성을 최소화)
2) FortiGate에 물리적으로 콘솔 연결
3) FortiGate 장비를 물리적으로 전원 제거 및, 10초 후 부팅 실시
4) 이후 로그인 창이 뜨면, 메모장에 복사해둔 ID/PW를 입력
5) 접속 후, 아래의 명령어를 참고하여, 비밀번호를 초기화 한다.
(만일 VDOM이 설정된 장비일 경우, global로 이동하여 초기화를 진행)
6) maintainer 접속 종료 후, 바뀐 패스워드로 정상 로그인 되는지 확인.
추가적인 내용 및 주의사항은 Limit 항목 참조.
Link : kb.fortinet.com/kb/documentLink.do?externalID=FD34757
Limit :
-이러한 maintainer 계정이 보안상 이슈가 된다면, 옵션을 통해 이를 disable도 가능.
하지만 해당 기능 disable시, 관리자가 비밀번호 분실시 더이상 복구할 수 있는 방법이 없음.
아래의 명령어 참조.
-ID분실의 경우...
관리자가 PW뿐만이 아니라, ID 또한 기억이 안날 경우에도 복구 방법이 없음.
# config system admin 위치에서 [Show] 명령어를 통한, ID 확인 불가능. (보안상의 이유로 인해)
반드시 ID는 기억하고 있어야, 비밀번호 복구 가능.
(FortiGate의 default 계정의 ID는 'admin'임)
