Este artículo aborda un problema relacionado con los permisos de acceso a comandos CLI en dispositivos FortiGate. Es fundamental entender qué comandos están disponibles según el perfil de usuario, ya que esto puede afectar la capacidad de realizar diagnósticos y soluciones en situaciones críticas. A lo largo de este artículo, se describirán los distintos perfiles de inicio de sesión y las implicaciones de cada uno para optimizar la resolución de problemas.
Índice
Descripción del problema
Cuando los administradores inician sesión en FortiGate utilizando ciertos perfiles, como prof_admin, Console_Debug o super_admin_readonly, se enfrentan a restricciones en el uso de comandos específicos. Estos comandos son cruciales para verificar los recursos del sistema y el estado del sistema de archivos, lo que puede complicar la gestión y solución de problemas.
Alcance
Este artículo se aplica a todos los dispositivos FortiGate que utilizan los perfiles mencionados y que necesitan acceso completo a los comandos de diagnóstico.
Diagnóstico paso a paso
Al iniciar sesión en FortiGate con un perfil de usuario que no tiene privilegios de super_admin, los siguientes comandos generarán un mensaje de error correspondiente:

En general, todos los comandos de fnsysctl relacionados con la verificación de recursos del sistema y el sistema de archivos requieren un perfil super_admin para ejecutarse con éxito.
Solución recomendada
Para evitar las limitaciones de los perfiles mencionados, es recomendable iniciar sesión en FortiGate utilizando el perfil super_admin. Esto garantizará el acceso total a todos los comandos necesarios para diagnósticos y resolución de problemas. Por ejemplo, los siguientes comandos funcionan bien cuando se inicia sesión con los perfiles prof_admin y Console_Debug:

Sin embargo, estos mismos comandos no funcionarán al iniciar sesión con el perfil super_admin_readonly:

En resumen, para tener acceso completo a todos los comandos CLI necesarios para la solución de problemas, es imprescindible iniciar sesión en FortiGate con el perfil super_admin.
Comandos CLI utilizados
A continuación se presentan algunos de los comandos CLI relevantes utilizados en este contexto:
fnsysctl– Comando utilizado para comprobar el estado de los recursos del sistema. Necesita privilegios super_admin.execute– Se utiliza para ejecutar ciertos procesos administrativos. Dependiendo del perfil, puede no estar disponible.
Buenas prácticas y recomendaciones
1. Siempre inicie sesión con el perfil adecuado para el tipo de tareas que va a realizar, especialmente para diagnóstico y solución de problemas.
2. Minimice el uso del perfil super_admin para evitar posibles modificaciones no deseadas en la configuración del sistema.
3. Realice un registro de las acciones y comandos ejecutados para mantener un control sobre las operaciones realizadas.
Notas adicionales
Se recomienda a los administradores revisar regularmente los permisos de usuario y los roles asignados en el sistema FortiGate para garantizar una gestión de seguridad óptima.
¿Te ha resultado útil??
0 / 0

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!