Es ist also wieder Mal passiert, das „admin“ Passwort der Fortigate ist verloren gegangen. Wer jetzt diesem Artikel folgen möchte, erlebt seit FortiOS 7.2.4 eine Überraschung, denn der hierfür genutzte „Maintainer“ Account – sofern er denn überhaupt aktiviert war – existiert nicht mehr. Aus Sicherheitsgründen hat Fortinet diesen jetzt verbannt. Fortinet erläutert deshalb in diesem Beitrag, wie man es dennoch zurücksetzen kann. Ich betrachte hier zwei Varianten, ein verloren gegangenes Admin Passwort zurückzusetzen. Je nachdem was noch vorhanden ist, wird einer der beiden funktionieren. Allerdings verliert man in Variante 2 die gesamte Konfiguration. Hierfür gibt es auch KEINE Alternative, sollte man keinerlei Backup haben.
Variante 1 – Backup einer Konfiguration vorhanden UND USB Auto-install ist aktiviert
Voraussetzungen / Planung:
- Plant eine Downtime ein, denn das System muss neu gestartet werden.
- Dieser Vorgang kann nur mit physischem Zugriff auf das System durchgeführt werden
- Ihr habt irgendwo noch ein unverschlüsseltes Backup der laufenden Konfiguration. Sollte man übrigens immer irgendwo haben! 😉
- USB auto-install ist aktiviert (System > Settings > Startup Settings > USB auto-install)
config system auto-install
showDann kann’s losgehen…
Die vorhandene Konfiguration mit bspw. dem Editor Eurer Wahl bearbeiten und so ein neues admin Passwort setzen.
Sucht dazu in der Konfiguration nach der Zeile…
config system adminund ändert die folgende Zeile…
set password ENC xxxxxxin…
set password $uperpa$$w0rdIhr setzt hier natürlich Euer Wunschpasswort ein…
Damit tut Ihr nichts Anderes, als der Konfiguration ein Klartext Passwort zu übergeben, welches das System direkt nach dem Laden wieder verschlüsselt speichert.
Jetz die Konfiguration fgt_system.conf (Default Name der beim Auto-Boot von USB zu ladenden Konfigurationsdatei) und die passende image.out (Default Name der beim Auto-Boot von USB zu ladenden Firmware Datei) auf einen USB Stick kopieren und das System neu starten. Danach sollte wieder eine Anmeldung mit zuvor gesetzten Passwort möglich sein.
Variante 2 – Crying and Start from Scratch
In aller Kürze und ja, das System wird hierbei komplett zurückgesetzt und eine vorhandene Konfiguration überschrieben. Also beim nächsten Mal besser die Konfiguration sichern.
Kleiner Tipp noch: Nein, es reicht NICHT einfach mit dem USB Stick und dem Auto-install „nur“ die Firmware zu laden. Das System wird immer eine vorhandene Konfiguration laden und von der kjennt Ihr ja das Passwort nicht. Übrigens: Sollte die Konfiguration auf dem System, nicht zum FortiOS auf dem USB Stick passen, wird wiederum das installierte OS geladen und die Firmware auf dem Stick ignoriert. Beim Laden der Firmware vom TFTP Server hingegen, wird automatisch eine Standard Konfiguration erstellt und geladen.
Follow the steps in Installing firmware from system reboot to reload the firmware. Configurations will be reset to the factory default once the firmware is installed.
https://docs.fortinet.com/document/fortigate/7.2.0/new-features/482897/remove-maintainer-account-7-2-4
- Downtime einplanen, falls das System noch läuft!
- TFTP Server im Netz vorbereiten und starten
- Ziel-Firmware (7.2.7 bspw.) herunterladen und die *.out Datei im TFTP Verzeichnis bereitstellen
- Consolen-Verbindung zum System herstellen
- System starten (falls es noch läuft, einfach Stecker raus und wieder rein…)
- Boot-Vorgang via Konsole beobachten und wenn die Meldung „Press any key to display configuration menu……….“ erscheint, bspw. die Leertaste drücken. Aufpassen, Ihr habt dafür nur ganze drei Sekunden Zeit… 😉
- „c“ drücken, zur Konfiguration der TFTP-Server Parameter
- Wenn alle Parameter passen mit „q“ wieder raus
- Jetzt „t“ zum Laden der Firmware
- diese Firmware mit „d“ als Default setzen
- Jetzt wird die Firmware und anschließend eine Standard Konfiguration geladen.
Nach dem Neustart verhält sich die Fortigate wie ein neues System und folgt vielleicht direkt diesem Artikel und sichert dann ein Backup der Konfiguration… 😉
Variante 3 – Backup einer Konfiguration vorhanden ABER USB Auto-install ist NICHT aktiviert
Klingt erstmal dramatisch, ist aber halb so wild. In diesem Fall kombiniert Ihr einfach die beiden oberen Varianten.
- Ihr ändert, wie in Variante 1 beschrieben, das „admin“ Passwort und
- installiert das System wie in Variante 2 neu.
Hierbei jetzt lediglich aufpassen, dass Ihr die korrekte FortiOS Version verwendet! Ihr findet diese übrigens in Eurer Konfigurationsdatei, in der ersten Zeile… 😉
Viel Erfolg!