FortiAnalyzer-5.4: Unterschied zwischen den Versionen

Aus Fortinet Wiki
Zur Navigation springen Zur Suche springen
Keine Bearbeitungszusammenfassung
(Die Seite wurde geleert.)
 
(20 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
FortiAnalyzer-5.4:FAQ


[[Category:Fortinet]]
  <font size="6">'''24 X 7 <span style="color: #FF0000;">PROMOTION</span> bis 31. März 2016</font>
 
                        <font size="2">[[Fortinet:24x7Promotion|'''Weitere Informationen finden Sie hier!''']]</font>
__TOC__
== Vorwort ==
Diese FAQ's sind für FortiAnalyzer Systeme basierend auf 5.x
<br/>
== Datenschutz ==
<pre>
        *********************************************************************
        *                                                                  *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM    *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                    *
        *                                                                  *
        *********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
                        bekannt gemacht werden"
</pre>
== FAQ ==
== Documentation ==
=== Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ? ===
Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiAnalyzer Devices:
        [[Fortinet:ProduktInfo]]
Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:
        http://community.fortinet.com/
Auf folgender Seite findet man alle orginal Dokumente betreffend Fortigate:
        http://docs.fortinet.com/fortianalyzer/admin-guides (Legacy Link http://docs.fortinet.com/fa40.html)
        '''FortiOS 5.4'''
        [[Datei:Fortianalyzer-54-administration-guide.pdf]]      (FortiAnalyzer v5.4 Administration Guide)
        [[Datei:Fortianalyzer-54-VM-install-guide.pdf]]          (FortiAnalyzer v5.4 Install Guide für VM)
        [[Datei:Fortianalyzer-54-upgrade-guide.pdf]]            (FortiAnalyzer v5.4 Upgrade Guide)
        [[Datei:Fortianalzyer-54-CLI-Ref.pdf]]                  (FortiAnalyzer v5.4 CLI Reference)
        [[Datei:Fortianalyzer-54-dataset_reference_guide.pdf]]  (FortiAnalyzer v5.4 Datasets Set Refrence Guide)
        [[Datei:FortiOS-Compatibility-FAZ.pdf]]                  (FortiAnalyzer v5.x Managed Compatibility Matrix)
        '''NOTE''' Betreffend FortiAnalyzer Upgrade und Upgrade Guide siehe folgender Artikel:
           
            [[FortiAnalyzer-5.4#Wie_f.C3.BChre_ich_ein_regul.C3.A4res_Firmware_Upgrade_f.C3.BCr_den_FortiAnalyzer_durch.3F]]
=== Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind? ===
        http://pub.kb.fortinet.com/index/
== Hardware ==
=== Was für ein Kabel benötige ich für den Consolen Anschluss (Seriell RS232) einer Fortinet?  ===
Weitere Informationen siehe folgender Artikle:
        [[FortiGate-5.4:FAQ#Was_f.C3.BCr_ein_Kabel_.28Converter.29_ben.C3.B6tige_ich_f.C3.BCr_den_Consolen_Anschluss_.28Seriell_RS-232.29_auf_einer_FortiGate.3F]]
== Upgrade ==
=== Wie führe ich ein reguläres Firmware Upgrade für den FortiAnalyzer durch? ===
Wenn für den FortiAnalyzer ein reguläres Firmware Upgrade durchgeführt werden soll kann dies über das WebGui durchgeführt werden. Bevor so ein Upgrade durchgeführt wird führe ein ordentliches Backup durch.
Danach kann ein Upgrade anhand der neuen Firmware über das WebGui durchgeführt werden:
        [[Datei:Fortinet-1728.jpg]]
       
        '''NOTE''' Es ist dringend Notwendig die entsprechende Release Notes gut durchzulesen um eventuell wichtige
            Informationen zu berücksichtigen! Ebenfalls steht folgendes Dokument für Upgrades zur Verfügung:
           
            [[Datei:Fortianalyzer-54-upgrade-guide.pdf]]            (FortiAnalyzer v5.4 Upgrade Guide)
== Setup ==
=== In welchen Mode kann ein FortiAnalyzer betrieben werden? ===
Ein FortiAnalzer kann in zwei versschiedenen Modi betrieben werden:
        - Analyzermode
        - Collectormode
Nachfolgend eine kurze Uebersicht welche Features in welchem Mode unterstützt werden:
        [[Datei:Fortinet-1729.jpg]]
        '''Collector Mode'''
        Der Collector Mode ist ein reiner Log Server ohne Reporting Funktionen. Die Log's im Collector Mode behalten das orginale
        Log Format (Binary) und werden nicht in die Datenbank eingelesen. Ein FortiManager mit aktivieren FortiAnalyzer Funktionen
        kann nicht im "Collector Mode" betrieben werden.
       
        [[Datei:Fortinet-1731.jpg]]
        '''Analyzer Mode'''
        Der Analyzer Mode kann auch als Reporting Server bezeichnet werden denn dieser Mode erhält seine Log's vom FortiAnalyzer
        im Collector Mode. Alle Logs werden in die Datenbank eingelesen und stehen dort von verschiedenen FortiAnalyzer Collectors
        zur Verfügung um anhand der Reporting Templates Reports zu ziehen oder Auswertungen zu generieren.
       
        [[Datei:Fortinet-1730.jpg]]
Um den betreffenden Mode zu wechseln führe über das WebGui folgendes aus:
        System Settings > Dashboard > System Information > Operation Mode [Analyzer | Collector]
       
        [[Datei:Fortinet-1732.jpg]]
=== Kann ein FortiAnalyzer im "Collector" Mode einem FortiManager Logs übermitteln? ===
Weitere Informationen siehe Artikel:
        [[FortiManager-5.0-5.2:FAQ#Kann_der_FortiManager_in_Zusammenhang_mit_FortiAnalyzer_im_.22Collector.22_Mode_ben.C3.BCtzt_werden.3F]] NOCH LINK korrigieren auf 5.4
=== Welche Ports benützt eine FortiAnalyzer Installation? ===
Folgende Tabelle zeigt welche Ports durch einen FortiAnalyzer benutzt wird. Diese Ports umfassen folgendes:
        • Ports die benützt werden durch den FortiAnalyzer selber (outbound ports)
        • Ports die benützt werden durch den FortiAnalyzer um Traffic zu erhalten (listening ports)
        '''NOTE''' Die nachfolgende Auflistung zeigt ALLE Ports die möglich sind dh. je nach benutzten Optionen in der Konfiguration sind
            diese Ports offen oder in Gebrauch!
           
            [[Datei:Fortinet-1749.jpg]]
        '''outbound ports'''
        [[Datei:Fortinet-1750.jpg]]
        '''listening ports'''
        [[Datei:Fortinet-1751.jpg]]
=== Was sind die "Maximum Values" eines FortiAnalyzers? ===
Nachfolgend eine Aufstellung (Matrix) der Maximum Values eines FortiAnalyzers basierend auf FortiAnalyzer 5.0.9:
        [[Datei:Fortinet-1752.jpg]]
        [[Datei:Fortinet-1753.jpg]]
=== Wie sieht die Grundkonfiguration (Netzwerk) eines FortiAnalyzers aus? ===
Der FortiAnalyzer ist der zentrale Log Server. Wenn man zB über VMware einen FortiAnalyzer installiert (über ovf File) so muss dieser über die Console für den ersten Zugriff Grundkonfiguriert werden (Gilt auch für den Device) dh. damit später über das WebInterface zugegriffen werden kann. Diese Grundkonfiguration sieht folgendermassen aus:
        '''Interface Konfiguration'''
       
        # config system interface
        # edit [Name des Ports zB "port1"]
        # set status [up oder down]
        # set ip [IPv4 Adresse mit Subnet Mask zB "192.168.140.10 255.255.255.0"]
        # set allowaccess [Gebe Die Services an zB "http https ping snmp ssh telnet webservice"]
        # set serviceaccess [Name des Service Access zB "fclupdates und/oder fgtupdates"]
        # set speed [Gebe den Speed an zB "1000full 100full 100half 10full 10half auto"]
        # set description [Gebe die gewünschte Beschreibung des Interfaces an]
        # set alias [Gebe den gewünschten Alias für das Interface an]
        # config ipv6
        # set ip6-address [IPv4 Adresse mit Subnet Mask zB "192.168.140.10 255.255.255.0"]
        # set ip6-allowaccess [Gebe Die Services an zB "http https ping snmp ssh telnet webservice"]
        # end
        # end
        '''DNS Konfiguration'''
       
        # config system dns
        # set primary [DNS Server IPv4 Adresse]
        # set secondary [DNS Server IPv4 Adresse]
        # end
        '''Default Gateway'''
       
        # config system route
        # edit [Sequenz ID für eine Route]
        # set device [Name des Ports für die Route]
        # set dst [IPv4 Adresse sowie Subnet Mask für die Destination zB "192.168.10.0 255.255.255.0]
        # set gateway [IPv4 Adresse für Default Gateway]
        # end
Danach kann anhand der gesetzten IP auf das WebInterface zugegriffen werden:
        https://[IPv4 Adresse]
=== Wo setze ich den Hostnamen für einen FortiAnalyzer? ===
Der Hostname wird folgendermassen konfiguriert:
        System Settings > System Information > Host Name
       
        [[Datei:Fortinet-1754.jpg]]
=== Wie kann ich die entsprechende Zeitzone setzen sowie einen NTP Server? ===
Die Zeitzone sowie einen entsprechenden NTP Server kann unter folgender Position konfiguriert werden:
        System Settings > System Information > System Time
       
        [[Datei:Fortinet-1755.jpg]]
        [[Datei:Fortinet-1756.jpg]]
=== Wie aktiviere/deaktivere ich für einen FortiAnalyzer die SSLv3? ===
Für alle FortiAnaylzer gilt das diese per Standard mit aktivierten TLSv1 und SSLv3 konfiguriert sind. Eine Ausnahme gilt für die FortiAnalyzer-VM64-AWS Version. Möchte man zB die SSLv3 deaktivieren kann folgendes ausgeführt werden:
        # config system global
        # set ssl-protocol [tlsv1.2 | tlsv.1 | tlsv1.0 | sslv3]
        # end
== User ==
=== Wo kann ich beim FortiAnalyzer 5.4 das Passwort des SuperAdmin (admin) ändern? ===
Per Standard existiert auf dem FortiAnalyzer ein SuperAdmin mit dem Username "admin". Diesem SuperAdmin wurde per Standard KEIN Passwort gesetzt. Wenn dieses neu gesetzt sowie modifiziert werden möchte kann dies unter folgender Position durchgeführt werden:
        [[Datei:Fortinet-1742.jpg]]
Alternativ kann auch folgendermassen das Passwort geändert werden:
       
        System Settings > Admin > Admin Settings > Idle Timeout
        [[Datei:Fortinet-1737.jpg]]
        '''NOTE:''' Wenn kein Passwort gesetzt wird, ist es auf der CLI nicht möglich auf die Shell zuzugreifen.
=== Wie erstelle ich beim FortiAnalyzer 5.4 einen Administrator und definiere seine Rechte ?===
Um einen neuen Administrator einzurichten muss mit einem SuperAdmin Profil z.B "admin" eingeloggt sein.
        System Settings > Admin > Administrator > Create New
        [[Datei:Fortinet-1743.jpg]]
Wenn ADOMs aktiviert sind ist es nach Situation erforderlich nur bestimmten Administratoren auf bestimmte ADOMs Zugriff zu ermöglichen. Dies setzt einen Administrator mit bestimmten Rechten vorraus. Um einen solchen Administrator zu erstellen gehe folgendermassen vor:
        System Settings > Admin > Administrator > Create New
       
        [[Datei:Fortinet-1743.jpg]]
       
        '''NOTE''' Wähle auf keinen Fall das "Super_admin" Profil denn dieses hat -obwohl restricted auf "specify"
            ADOM's- Zugriff auf ALLE ADOM's! Spezielle Profile für die Administratoren können unter folgender
            Position erstellt werden:
           
            System Settings > Admin > Profile
Wenn nun der neue Administrator "Admin-VDOM-local" sich über das normale Login des FortiAnalyzers einloggt sieht dieser nur noch im Device Manager SEINE ADOM dh. "local" und zB keine "globalen" Konfigurationspunkte wie "System Settings":
        [[Datei:Fortinet-1744.jpg]]
Der Administrator kann unter folgendem Punkt sein Passwort ändern:
        System Settings > Admin > Administrators > rechtsklick beim username admin -> Change Password
       
        [[Datei:Fortinet-1737.jpg]]
Wenn ein Administrator erfasst wird sei es als "lokaler" User sowie Radius oder LDAP User muss diesem ein entsprechendes Profile hinzugefügt werden. Dies bedeutet: Dieses Profile steuert die entsprechenden Rechte des Adminstrators. Um ein Profil zu erstellen für einen Administrator wähle folgendes:
        System Settings > Admin > Profil > Create New
       
        [[Datei:Fortinet-1738.jpg]]
Per Standard existieren folgende Profile (Diese Standard Profile können zwar modifiziert jedoch nicht gelöscht werden):
        [[Datei:Fortinet-1739.jpg]]
Unter folgenden Punkt können diese Standard Profiles eingesehen werden sowie neue erstellt werden:
        System Settings > Admin > Profile > Create New
Im Zusammenhang mit den "Access" Profiles dh. um differenzierte Rechte für Devices Access zu erstellen, stehen ebenfalls die ADOM Funktionalitäten. Weitere Informationen betreffend ADOM Funktionalität siehe auch nachfolgender Artikel:
        [[FortiAnalyzer-5.4:FAQ#Was_sind_ADOM.27s_und_welche_Ueberlegung_sind_in_diesem_Zusammenhang_zu_ber.C3.BCcksichtigen.3F]]
Zu den im Mgmt. Interface ersichtlichen Punkte stehen einige Konfigurationen zusätzlich auf der Kommandozeile zur Verfügung die noch eine granularere Konfiguration ermöglichen:
        # config system admin profile
        # edit [Name des Profiles]
        # set change-password enable
        # set description [text]
        # set scope [adom | global]
        # set system-setting [none | read | read-write]
        # set adom-switch [none | read | read-write]
        # set device-manager [none | read | read-write]
        # set device-ap [none | read | read-write]
        # set device-forticlient [none | read | read-write]
        # set device-op [none | read | read-write]
        # set device-wan-link-load-balance [none | read | read-write]
        # set realtime-monitor [none | read | read-write]
        # set log-viewer [none | read | read-write]
        # set report-viewer [none | read | read-write]
        # set event-management [none | read | read-write]
        # set change-password [enable | disable]
        # end
=== Wo kann ich das Timeout des Administrators konfigurieren? ===
Das Timout für den Administrator betreffend dem WebGui lässt sich über folgende Position konfigurieren:
        System Settings > Admin > Admin Settings > Idle Timeout
=== Wie kann ich erlauben das ein lokaler Administrator sein vergebenes Passwort ändern kann? ===
Per Standard ist es nicht möglich das ein Administrator der lokal erfasst wurde auf dem FortiManager/FortiAnalyzer sein Passwort selber ändern kann. Ab FortiManager sowie FortiAnalyzer 5.2 ist dies jedoch möglich. Damit das ermöglicht wird muss ein entsprechendes Profile konfiguriert werden sowie der lokale Adminstrator dh. Im Access Profile selber muss die Funktion aktiviert werden damit diese Funktion zur Verfügung steht (Per Standard deaktiviert). Danach kann granular für jeden Adminstrator dies konfiguriert werden. Somit muss als Ausgangslage in erster Stelle ein entsprechendes Profile erstellt werden oder ein bestehndes konfiguriert werden damit das ändern eines Passwortes für einen Administrator ermöglicht wird. Wie ein Profile erfasst/konfiguriert wird siehe nachfolgenden Artikel:
        [[FortiAnalyzer-5.4:FAQ#Wie_erstelle_ich_beim_FortiAnalyzer_5.4_einen_Administrator_und_definiere_seine_Rechte_.3F]]
Danach muss folgende Option im Profile konfiguriert werden:
        # config system admin profile
        # edit [Name des Profiles]
        # set change-password enable
        # end
       
        '''NOTE''' Wird ein "Read-Only" Profile erstellt kann die Option "change-password" nicht benutzt werden dh. diese Option steht
            auch im per standard existierenden Profile "Read-Only" nicht zur verfügung!
Über Mgmt. Interface muss nun dem entsprechenden Adminstrator dieses Profile zugewiesen werden über folgende Position:
        System Settings > Admin > Administrators > [Wähle den entsprechenden Administrator] > Admin Profile > [Wähle das entsprechende Profile]
Danach kann das ändern des Passwortes für den entsprechenden Administrator über Kommandozeile aktiviert werden:
        # config system admin user
        # edit [Name des Administrators]
        # set change-password enable
        # end
Sobald der entsprechende Administrator sich einloggt steht diesem im oberen linken Bereich ein neues Icon zur Verfügung im Form eines "Schlosses". Ueber diese Position kann nun der entsprechende Administrator sein Passwort ändern!
=== Wie finde ich heraus welche Administratoren momentan auf einem FortiAnalyzer eingeloggt sind? ===
Unter folgender Position sieht man die momentanen Session für die eingeloggten Administratoren (Nur mit "Super_admin" Profil):
        System Settings > Dashboard > System Information > Current Administrators
       
        [[Datei:Fortinet-1745.jpg]]
Wenn man nun auf "Detail" geht so öffnet sich ein Fenster indem die vers. Sessions der Administratoren aufgelistet sind. Möchte man eine Session eines Administrators löschen kann dies über die Checkbox durchgeführt werden (aktivieren und auf delete):
        [[Datei:Fortinet-1746.jpg]]
=== Wie kann ich für einen FortiAnalyzer Administratoren basierend auf "ActiveDirectory" sowie Gruppen Zugehörigkeit konfigurieren? ===
Wenn man für die Authentifizierung der Administratoren ein "ActiveDirectory" einbinden möchte ist dies ohne grossen Aufwand möglich. Innerhalb dieser Konfiguration ist es möglich direkt eine bestimmte "Gruppe im ActiveDirectory" zu konfigurieren in der die Administratoren verwalten werden die auf den FortiManager Zugriff erhalten. Dabei ist jedoch zu berücksichtigen das innerhalb dieser Gruppe - für verschiedene User - es nicht möglich ist verschiedenen "Access Profiles" sowie "VDom" zu konfigurieren. Dies bedeutet: Wird für ein ActiveDirectory eine Gruppe definiert kann innerhalb dieser Gruppe nur ein "Access Profile" sowie "ADOM/s" zugewiesen werden. Möchte man eine zweite Gruppe mit underschiedlicher Zuweisung konfigurieren muss erneut ein neuer Eintrag für dieses ActiveDirectory mit der neuen Gruppen konfiguriert werden in der die neue Zuweisung von "Access Profile" sowie "ADOM/s" durchgeführt werden kann. Um das ActiveDirectory mit der entsprechenden Gruppe zu konfigurieren führe folgendes durch:
        '''In diesem Beispiel wird von folgenden Komponenten/Informationen ausgegangen:'''
       
        - ActiveDirectory Controller IPv4 10.0.0.1
        - Domaine also.com
        - OU "RemoteAdmins" entält die Gruppe "fmgAdmins" sowie "fazAdmins"
        - Administrator Account für Gruppe "fmgAdmins" sowie "fazAdmins" ist "LDAPservice"
        - Administrator Account "LDAPservice" verfügt über Domain Admin Rechte sowie "never expiring password"
        - Administrator Account "LDAPservice" wird benützt um auf das ActiveDirectory zu verbinden
        # config system admin ldap
        # edit [Name des Eintrages für das ActiveDirectory zB "LDAP"]
        # set server "10.0.0.1"
        # set secondary-server "0.0.0.0"
        # set port 389
        # set cnid "sAMAccountName"
        # set dn "DC=also,DC=com"
        # set type regular
        # set username "CN=LDAPservice,OU=RemoteAdmins,DC=also,DC=com"
        # set password [Password des Service Account "LDAPservice"]
        # set adom [Definiert den Namen der der ADOM oder mehrerer ADOM's]
        # set group CN=fmgAdmins,OU=RemoteAdmins,DC=also,DC=com
        # set filter (&(objectcategory=group)(member=*))
        # next
        # end
Nun muss für alle User in der Gruppe "fmgAdmins" sowie "fazAdmins" ein user erfasst werden der als "wildcard" benutzt wird resp. alle User darstellt in "fmgAdmins" sowie "fazAdmins":
        # config system admin user
        # edit "RemoteAdmins"
        # set profileid "Super_User"
        # set adom [Definiert den Namen der der ADOM oder mehrerer ADOM's] 
        # set policy-package [Definiert folgendes: [ <adom name>: <policy package id> | <adom policy folder name>/<package name> | all_policy_packages]
        # set user_type ldap
        # set ldap-server "AD1"
        # set wildcard enable
        # next
        # end
== User ==
=== Wo kann ich beim FortiAnalyzer 5.4 das Passwort des SuperAdmin (admin) ändern? ===
Per Standard existiert auf dem FortiAnalyzer ein SuperAdmin mit dem Username "admin". Diesem SuperAdmin wurde per Standard KEIN Passwort gesetzt. Wenn dieses neu gesetzt sowie modifiziert werden möchte kann dies unter folgender Position durchgeführt werden:
        [[Datei:Fortinet-1742.jpg]]
Alternativ kann auch folgendermassen das Passwort geändert werden:
       
        System Settings > Admin > Admin Settings > Idle Timeout
        [[Datei:Fortinet-1737.jpg]]
        '''NOTE:''' Wenn kein Passwort gesetzt wird, ist es auf der CLI nicht möglich auf die Shell zuzugreifen.
=== Wie erstelle ich beim FortiAnalyzer 5.4 einen Administrator und definiere seine Rechte ?===
Um einen neuen Administrator einzurichten muss mit einem SuperAdmin Profil z.B "admin" eingeloggt sein.
        System Settings > Admin > Administrator > Create New
        [[Datei:Fortinet-1743.jpg]]
Wenn ADOMs aktiviert sind ist es nach Situation erforderlich nur bestimmten Administratoren auf bestimmte ADOMs Zugriff zu ermöglichen. Dies setzt einen Administrator mit bestimmten Rechten vorraus. Um einen solchen Administrator zu erstellen gehe folgendermassen vor:
        System Settings > Admin > Administrator > Create New
       
        [[Datei:Fortinet-1743.jpg]]
       
        '''NOTE''' Wähle auf keinen Fall das "Super_admin" Profil denn dieses hat -obwohl restricted auf "specify"
            ADOM's- Zugriff auf ALLE ADOM's! Spezielle Profile für die Administratoren können unter folgender
            Position erstellt werden:
           
            System Settings > Admin > Profile
Wenn nun der neue Administrator "Admin-VDOM-local" sich über das normale Login des FortiAnalyzers einloggt sieht dieser nur noch im Device Manager SEINE ADOM dh. "local" und zB keine "globalen" Konfigurationspunkte wie "System Settings":
        [[Datei:Fortinet-1744.jpg]]
Der Administrator kann unter folgendem Punkt sein Passwort ändern:
        System Settings > Admin > Administrators > rechtsklick beim username admin -> Change Password
       
        [[Datei:Fortinet-1737.jpg]]
Wenn ein Administrator erfasst wird sei es als "lokaler" User sowie Radius oder LDAP User muss diesem ein entsprechendes Profile hinzugefügt werden. Dies bedeutet: Dieses Profile steuert die entsprechenden Rechte des Adminstrators. Um ein Profil zu erstellen für einen Administrator wähle folgendes:
        System Settings > Admin > Profil > Create New
       
        [[Datei:Fortinet-1738.jpg]]
Per Standard existieren folgende Profile (Diese Standard Profile können zwar modifiziert jedoch nicht gelöscht werden):
        [[Datei:Fortinet-1739.jpg]]
Unter folgenden Punkt können diese Standard Profiles eingesehen werden sowie neue erstellt werden:
        System Settings > Admin > Profile > Create New
Im Zusammenhang mit den "Access" Profiles dh. um differenzierte Rechte für Devices Access zu erstellen, stehen ebenfalls die ADOM Funktionalitäten. Weitere Informationen betreffend ADOM Funktionalität siehe auch nachfolgender Artikel:
        [[FortiAnalyzer-5.4:FAQ#Was_sind_ADOM.27s_und_welche_Ueberlegung_sind_in_diesem_Zusammenhang_zu_ber.C3.BCcksichtigen.3F]]
Zu den im Mgmt. Interface ersichtlichen Punkte stehen einige Konfigurationen zusätzlich auf der Kommandozeile zur Verfügung die noch eine granularere Konfiguration ermöglichen:
        # config system admin profile
        # edit [Name des Profiles]
        # set change-password enable
        # set description [text]
        # set scope [adom | global]
        # set system-setting [none | read | read-write]
        # set adom-switch [none | read | read-write]
        # set device-manager [none | read | read-write]
        # set device-ap [none | read | read-write]
        # set device-forticlient [none | read | read-write]
        # set device-op [none | read | read-write]
        # set device-wan-link-load-balance [none | read | read-write]
        # set realtime-monitor [none | read | read-write]
        # set log-viewer [none | read | read-write]
        # set report-viewer [none | read | read-write]
        # set event-management [none | read | read-write]
        # set change-password [enable | disable]
        # end
=== Wo kann ich das Timeout des Administrators konfigurieren? ===
Das Timout für den Administrator betreffend dem WebGui lässt sich über folgende Position konfigurieren:
        System Settings > Admin > Admin Settings > Idle Timeout
=== Wie kann ich erlauben das ein lokaler Administrator sein vergebenes Passwort ändern kann? ===
Per Standard ist es nicht möglich das ein Administrator der lokal erfasst wurde auf dem FortiManager/FortiAnalyzer sein Passwort selber ändern kann. Ab FortiManager sowie FortiAnalyzer 5.2 ist dies jedoch möglich. Damit das ermöglicht wird muss ein entsprechendes Profile konfiguriert werden sowie der lokale Adminstrator dh. Im Access Profile selber muss die Funktion aktiviert werden damit diese Funktion zur Verfügung steht (Per Standard deaktiviert). Danach kann granular für jeden Adminstrator dies konfiguriert werden. Somit muss als Ausgangslage in erster Stelle ein entsprechendes Profile erstellt werden oder ein bestehndes konfiguriert werden damit das ändern eines Passwortes für einen Administrator ermöglicht wird. Wie ein Profile erfasst/konfiguriert wird siehe nachfolgenden Artikel:
        [[FortiAnalyzer-5.4:FAQ#Wie_erstelle_ich_beim_FortiAnalyzer_5.4_einen_Administrator_und_definiere_seine_Rechte_.3F]]
Danach muss folgende Option im Profile konfiguriert werden:
        # config system admin profile
        # edit [Name des Profiles]
        # set change-password enable
        # end
       
        '''NOTE''' Wird ein "Read-Only" Profile erstellt kann die Option "change-password" nicht benutzt werden dh. diese Option steht
            auch im per standard existierenden Profile "Read-Only" nicht zur verfügung!
Über Mgmt. Interface muss nun dem entsprechenden Adminstrator dieses Profile zugewiesen werden über folgende Position:
        System Settings > Admin > Administrators > [Wähle den entsprechenden Administrator] > Admin Profile > [Wähle das entsprechende Profile]
Danach kann das ändern des Passwortes für den entsprechenden Administrator über Kommandozeile aktiviert werden:
        # config system admin user
        # edit [Name des Administrators]
        # set change-password enable
        # end
Sobald der entsprechende Administrator sich einloggt steht diesem im oberen linken Bereich ein neues Icon zur Verfügung im Form eines "Schlosses". Ueber diese Position kann nun der entsprechende Administrator sein Passwort ändern!
=== Wie finde ich heraus welche Administratoren momentan auf einem FortiAnalyzer eingeloggt sind? ===
Unter folgender Position sieht man die momentanen Session für die eingeloggten Administratoren (Nur mit "Super_admin" Profil):
        System Settings > Dashboard > System Information > Current Administrators
       
        [[Datei:Fortinet-1745.jpg]]
Wenn man nun auf "Detail" geht so öffnet sich ein Fenster indem die vers. Sessions der Administratoren aufgelistet sind. Möchte man eine Session eines Administrators löschen kann dies über die Checkbox durchgeführt werden (aktivieren und auf delete):
        [[Datei:Fortinet-1746.jpg]]
=== Wie kann ich für einen FortiAnalyzer Administratoren basierend auf "ActiveDirectory" sowie Gruppen Zugehörigkeit konfigurieren? ===
Wenn man für die Authentifizierung der Administratoren ein "ActiveDirectory" einbinden möchte ist dies ohne grossen Aufwand möglich. Innerhalb dieser Konfiguration ist es möglich direkt eine bestimmte "Gruppe im ActiveDirectory" zu konfigurieren in der die Administratoren verwalten werden die auf den FortiManager Zugriff erhalten. Dabei ist jedoch zu berücksichtigen das innerhalb dieser Gruppe - für verschiedene User - es nicht möglich ist verschiedenen "Access Profiles" sowie "VDom" zu konfigurieren. Dies bedeutet: Wird für ein ActiveDirectory eine Gruppe definiert kann innerhalb dieser Gruppe nur ein "Access Profile" sowie "ADOM/s" zugewiesen werden. Möchte man eine zweite Gruppe mit underschiedlicher Zuweisung konfigurieren muss erneut ein neuer Eintrag für dieses ActiveDirectory mit der neuen Gruppen konfiguriert werden in der die neue Zuweisung von "Access Profile" sowie "ADOM/s" durchgeführt werden kann. Um das ActiveDirectory mit der entsprechenden Gruppe zu konfigurieren führe folgendes durch:
        '''In diesem Beispiel wird von folgenden Komponenten/Informationen ausgegangen:'''
       
        - ActiveDirectory Controller IPv4 10.0.0.1
        - Domaine also.com
        - OU "RemoteAdmins" entält die Gruppe "fmgAdmins" sowie "fazAdmins"
        - Administrator Account für Gruppe "fmgAdmins" sowie "fazAdmins" ist "LDAPservice"
        - Administrator Account "LDAPservice" verfügt über Domain Admin Rechte sowie "never expiring password"
        - Administrator Account "LDAPservice" wird benützt um auf das ActiveDirectory zu verbinden
        # config system admin ldap
        # edit [Name des Eintrages für das ActiveDirectory zB "LDAP"]
        # set server "10.0.0.1"
        # set secondary-server "0.0.0.0"
        # set port 389
        # set cnid "sAMAccountName"
        # set dn "DC=also,DC=com"
        # set type regular
        # set username "CN=LDAPservice,OU=RemoteAdmins,DC=also,DC=com"
        # set password [Password des Service Account "LDAPservice"]
        # set adom [Definiert den Namen der der ADOM oder mehrerer ADOM's]
        # set group CN=fmgAdmins,OU=RemoteAdmins,DC=also,DC=com
        # set filter (&(objectcategory=group)(member=*))
        # next
        # end
Nun muss für alle User in der Gruppe "fmgAdmins" sowie "fazAdmins" ein user erfasst werden der als "wildcard" benutzt wird resp. alle User darstellt in "fmgAdmins" sowie "fazAdmins":
        # config system admin user
        # edit "RemoteAdmins"
        # set profileid "Super_User"
        # set adom [Definiert den Namen der der ADOM oder mehrerer ADOM's] 
        # set policy-package [Definiert folgendes: [ <adom name>: <policy package id> | <adom policy folder name>/<package name> | all_policy_packages]
        # set user_type ldap
        # set ldap-server "AD1"

Aktuelle Version vom 19. April 2016, 09:49 Uhr

Abgerufen von „http://fortinet.also.ch/wiki/index.php?title=FortiAnalyzer-5.4&oldid=12379