Restablecer una contraseña de administrador perdida en una unidad fortigate (recuperación de contraseña)

Descripción
Este artículo explica cómo restablecer una contraseña de administrador perdida en un FortiGate, con acceso físico a la unidad y algunas otras herramientas.

Periódicamente surge una situación en la que se debe acceder a FortiGate o se debe cambiar la contraseña de la cuenta de administrador, pero nadie con la contraseña existente está disponible.
Este procedimiento requerirá el reinicio de la unidad FortiGate.

Solución

 Será necesario:
 

– Cable de consola
– Software de terminal como Putty.exe (Windows) o Terminal (MacOS)
– Número de serie de la unidad FortiGate

 Paso 1:

Conecte la computadora al firewall a través del puerto Consola en la parte posterior de la unidad.
En la mayoría de las unidades, esto se realiza mediante un cable serie o un cable RJ-45 a serie. Hay algunas unidades que usan un cable USB y FortiExplorer para conectarse al puerto de la consola.
Las instancias virtuales no tendrán ningún puerto físico al que conectarse, por lo que deberá utilizarse la utilidad de conexión de la consola de los hosts de VM proporcionada.

Paso 2:

Inicie el software del terminal. (Por ejemplo: masilla)

Paso 3:

Conéctese al firewall usando lo siguiente:

Setting                             Value
Speed  Baud                          9600
Data Bits                            8Bit
Parity                               None
Stop Bits                               1
Flow Control     No Hardware Flow Control
Com Port             The correct com-port


Paso 4:

El cortafuegos debería responder con su nombre o nombre de host. (Si no lo hace, intente presionar «enter»)

Artículos relacionados  Consejo técnico: restablezca la contraseña de administrador si la cuenta de mantainer también está deshabilitada

Paso 5:

Reinicie el firewall.

Si no hay un botón de encendido, desconecte el adaptador de corriente y vuelva a conectarlo después de 10 segundos.
Enchufar la alimentación demasiado pronto después de desenchufarla puede dañar la memoria en algunas unidades.

Paso 6:

Espere a que aparezca el nombre del cortafuegos y la solicitud de inicio de sesión.

La ventana de la terminal debería mostrar algo similar a lo siguiente:
 

Versiones anteriores a la 5.2:

FortiGate-60C (18:52-06.18.2010)
Ver: 04000010 Número de
serie: FGT60C3G10xxxxxx
CPU (00): 525MHz
RAM total: 512 MB
NAND init… 128 MB
MAC Init… nplite#0
Presione cualquier tecla para mostrar menú de configuración…
……
leyendo la imagen de arranque 1163092 bytes.
Inicializando cortafuegos…
El sistema está iniciado.
login:

Versiones posteriores a la 5.2:

FortiGate-101E (16:16-01.25.2019)
Ver: 05000010 Número de
serie: FG101ETKxxxxxxx
CPU (00): 1000 MHz
RAM total: 4 GB
Inicializando dispositivo de arranque…
Inicializando MAC… nplite#0
Espere a que arranque el sistema operativo , o presione cualquier tecla para mostrar el menú de configuración……..
Arrancando SO…
Leyendo imagen de arranque… 2880394 bytes.
Inicializando cortafuegos…
El sistema se está iniciando…
Iniciando el mantenimiento del sistema…
Analizando /dev/mmcblk0p1… (100%)
Analizando /dev/mmcblk0p3… (100%) inicio de
login:

 
Paso 7:

Escriba el nombre de usuario: maintainer

Paso 8:

La contraseña es bcpb más el número de serie del firewall (las letras del número de serie están en mayúsculas)
Por ejemplo: bcpbFGT60C3G10xxxxxx obcpbFGT101ETKxxxxxx

 
En algunas unidades, después de que se inicie la unidad, se permitirá un período de tiempo de solo 14 segundos o menos para ingresar el nombre de usuario y la contraseña.

Por lo tanto, podría ser necesario tener las credenciales listas en un editor de texto y luego copiarlas y pegarlas en la pantalla de inicio de sesión.

Artículos relacionados  Cierre del puerto TCP 113

No hay indicador de cuándo se acaba el tiempo, por lo que es posible que se necesite más de un intento para tener éxito.

Paso 9:

Ahora debería completarse la conexión al cortafuegos. Para cambiar la contraseña de administrador, escriba lo siguiente:

En una unidad donde los vdoms no están habilitados:

#config system admin
edit admin
set password <psswrd>
end


En una unidad donde los vdoms están habilitados:

#config global
config system admin
edit admin
set password <psswrd>
end

Si hay una puerta trasera en el sistema, deshabilite la cuenta del mantenedor.

La cuenta de mantenedor está habilitada de forma predeterminada, hay una opción para deshabilitar esta función. Sin embargo, si la característica está deshabilitada y la contraseña se pierde sin tener a otra persona que pueda iniciar sesión como usuario con perfil de superadministrador, no habrá otras opciones.

Si hay un intento de usar la cuenta de mantenedor y ve el mensaje en la consola, «PASSWORD RECOVERY FUNCTIONALITY IS DISABLED «, la cuenta de mantenedor ha sido deshabilitada.

Desactivación de la cuenta del mantenedor:

use el siguiente comando en la CLI para cambiar el estado de la cuenta del mantenedor.

Deshabilitar:

#config system global
set admin-maintainer
disable
end


Para permitir:

#config system global
set admin-maintainer
enable
end

¿Te ha resultado útil??

0 / 0

Deja una respuesta 0

Your email address will not be published. Required fields are marked *