FortiToken:FAQ: Unterschied zwischen den Versionen

FortiToken:FAQ

Vorwort

Nachfolgende Artikel beschreiben die Vorgehensweise/Probleme die auftreten können für FortiToken's.

Datenschutz

        *********************************************************************
        *                                                                   *
        *  THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY  *
        *      PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING,      *
        *    DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM     *
        *                  ALSO SCHWEIZ AG SWITZERLAND.                     *
        *                                                                   *
        *********************************************************************

"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht 
                         bekannt gemacht werden"

FAQ

Documentation

Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?

Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiToken Devices:

       Fortinet:ProduktInfo

Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:

       http://community.fortinet.com/

Auf folgender Seite findet man alle orginal Dokumente betreffend Fortigate:

       http://docs.fortinet.com/auth.html

       Datei:Fortitoken-200-quickstart.pdf                       (Quickstart Guide)

       Datei:FortiToken-Comprehensive-Guide-FortiOS-54.pdf       (FortiToken Comprehensive Guide for FortiOS 5.4)
       Datei:FortiToken-Comprehensive-Guide-FortiOS-56.pdf       (FortiToken Comprehensive Guide for FortiOS 5.6)

       Datei:FortiToken-Mobile-Admin-Guide-10.pdf                (FortiToken Mobile 1.0 Admin Guide)
       Datei:FortiToken-Mobile-User-Guide-10.pdf                 (FortiToken Mobile 1.0 User Guide)
       FortiToken-Mobile online Userguide

       Datei:FortiToken-Mobile-User-Guide-20-for-IOS.pdf         (FortiToken Mobile 2.0 User Guide for IOS)
       Datei:FortiToken-Mobile-User-Guide-220-for-IOS.pdf        (FortiToken Mobile 2.2 User Guide for IOS)
       FortiToken-Mobile online Userguide

       Datei:FortiToken-Mobile-User-Guide-20-for-Android.pdf     (FortiToken Mobile 2.0 User Guide for Android)
       Datei:FortiToken-Mobile-User-Guide-40-for-Android.pdf     (FortiToken Mobile 4.0 User Guide for Android)
       FortiToken-Mobile online Userguide

       Datei:FortiToken-Mobile-IOS-ReleaseNotes-4.3.0.pdf        (FortiToken Mobile für IOS Release Notes Version 4.3.0)
       Datei:FortiToken-Mobile-IOS-ReleaseNotes-4.4.0.pdf        (FortiToken Mobile für IOS Release Notes Version 4.4.0)

       Datei:FortiToken-Mobile-for-Android-ReleaseNotes-401.pdf  (FortiToken Mobile für Android Release Notes Version 4.0.1)
       Datei:FortiToken-Mobile-for-Android-ReleaseNotes-411.pdf  (FortiToken Mobile für Android Release Notes Version 4.1.1)
       Datei:FortiToken-Mobile-Android-ReleaseNotes-4.3.0.pdf    (FortiToken Mobile für Android Release Notes Version 4.3.0)
       Datei:FortiToken-Mobile-Android-ReleaseNotes-4.4.0.pdf    (FortiToken Mobile für Android Release Notes Version 4.4.0)

       Datei:FortiToken-CloudServices-Quickstart-1.0.0.pdf       (FortiToken - FortiToken Cloud Service Version 1.0.0)

Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind?

       http://pub.kb.fortinet.com/index/

FortiToken Allgemein

Haben die Token von FortiToken ein "Expiration Date"?

Im Gegensatz zu anderen Herstellern (zB RSA) laufen die FortiToken nicht ab dh. diese haben kein "Expiration Date"!

Wie lange habe ich Zeit um einen FortiToken zu registrieren/aktivieren?

Ein FortiToken muss zwingend innerhalb von 365 Tagen nach dem kauf, registriert werden. Falls dies nicht innerhalb eines Jahres passiert, verfällt die Lizenz und kann nicht mehr aktiviert werden. Dies bedeutet, der Token ist nicht mehr nutzbar und es muss ein neuer Token erworben werden.

Welche Token-Arten werden durch FortiToken unterstützt?

FortiToken bietet Dir eine breite Palette an Token-Arten, die unterschiedliche Anforderungen an Sicherheit und Anwendungsszenarien abdecken. Diese Token-Arten werden vollständig vom FortiAuthenticator ab Version 3.1 GA unterstützt, sodass Du sie problemlos in Deine bestehende Infrastruktur integrieren kannst.

edit 23.07.2025 - 4Tinu

Was sind die technische Details der unterstützten FortiToken-Arten?

📌 Fazit:
Je nach Anwendungsfall kannst Du zwischen robusten, hochsicheren Hardware-Tokens wie dem FortiToken 300, mobilen und flexiblen Software-Token wie dem FortiToken Mobile, oder pragmatischen, sofort einsetzbaren ODA-Lösungen wählen. Die Integration erfolgt in der Regel über den FortiAuthenticator, der alle Token-Arten zentral verwalten und in vorhandene Verzeichnisdienste (LDAP, AD, RADIUS) einbinden kann.

add 23.07.2025 - 4Tinu

Wie funktioniert eine Two-Factor (TOTP) Zeit basierende Authentifizierung für FortiToken?

Wenn der Token wie zB FortiToken 200 benützt wird so benützt dieser den "Open TOTP Standard" (TOTP) definiert in RFC 6238. Nachfolgend eine Uebersicht wie dies funktioniert:

Wie und wo werden die FortiToken "Seeds" eines FortiToken gespeichert/gesichert?

Den Token Seeds kommt Allgemein eine wichtige Rolle zu. FortiTooken Seeds werden folgendermassen seitens Fortinet gespeichert/gesichert: Fortinet schützt die Token Seeds auf verschiedene Art und Weise. Die FortiToken zB FortiToken 200 mit deren Informationen resp. Seeds werden "initial" in der FortiCare Datenbank gespeichert. Wenn diese FortiToken 200 über den FortiAuthenticator und/oder FortiGate registriert werden (Aktiviert) so werden die Seeds aus der FortiCare Datenbank entfernt. Dies wird durchgeführt um das Risiko zu minimieren, dass diese Seeds zukünftig kompromitiert werden. Im Hintergrund wird jedoch durch die Registrierung -anhand der Serial Nummer- auf dem Device dh. FortiAuthenticator/FortiGate der FortiToken mit dem Device registriert und somit kann der FortiToken nicht zusätzlich auf einem anderen Device zB FortiGate registriert werden. Möchte man einen FortiToken auf einem neuen System, sei es FortiGate/FortiAuthenticator registrieren muss dieser "re-provisioned" werden dh. es benötigt ein Support Ticket über Customer Center um in der FortiCare Database diesen FortiToken (Seed) erneut zu speichern (Activation Flag). Dazu wird eine "offline" Kopie des Token benutzt da durch die Erst-Registrierung der Seed aus der Datenbank von FortiCare gelöscht wurde. Somit wird ein FortiToken 200 Seed nur bis zur Registrierung in der Datenbank von FortiCare gespeichert. Ein FortiToken Mobile wird in der Datenbank von FortiCare resp. dessen Seed solange gespeichert, bis der "Seed" runtergeladen wurde. Ist dies der Fall wird ebenfalls dieser Seed aus der Datenbank von FortiCare gelöscht. Es ist möglich diesen Vorgang der Speicherung des Seed's in der FortiCare Datenbank zu konfigurieren. Wenn für "Enterprise" Kunden dieser oben beschriebene Weg "kein" gangbarer Weg ist da der Seed in der Datenbank von FortiCare gespeichert wird, kann der Kunde folgendes Produkt beziehen:

       FTK200CD-X (Anzahl 10, 20, 50 100)
       
       NOTE Bei dieser offiziellen SKU von Fortinet handelt es sich um eine FortiToken 200 CD die deren "Seeds" verschlüsselt
            enhält und somit nicht in der FortiCare Datenbank gespeichert werden!

Es besteht ebenfalls die Möglichkeit bei "sehr grossen" Umgebungen das "self-provisioning" der Tokens selbst durchzuführen. Dazu benötigt man jedoch das "Provisioning Tool" von Fortinet. Dieses "Provisioning Tool" ermöglicht es "zufällige" Seed's selbst zu erstellen. Für ein allfäliges Pricing und minium Volumen muss Fortinet kontaktiert werden. Weitere Informationen im Zusammenhang mit den FortiToken findet man im FAQ des FortiAuthenticator:

        Datei:FortiAuthenticator FAQ.pdf

Wie verschiebe ich einen registrierten FortiToken auf einer FortiGate von einer VDOM zu einer anderen VDOM?

Wenn ein FortiToken auf einer FortiGate registriert ist kann dieser nicht auf einer anderen FortiGate registriert werden. Um dies zu erreichen, muss über Customer Service ein Ticket eröffnet werden und der FortiToken der auf einer FortiGate registriert ist per Auftrag über Customer Service gelöscht werden. Danach kann der FortiToken auf der neuen FortiGate registriert werden. Als Ausnahme gilt die Registrierung auf einer FortiGate in einer bestimmten VDOM. Soll der FortiToken auf einer anderen VDOM -auf der gleichen FortiGate- registriert werden so muss folgendermassen vorgegangen werden:

       1. Gehe auf die VDOM auf der der FortiToken momentan registriert ist.
       2. Kopiere/Sichere die Serial Nummer des FortiToken.
       3. Löschen nun den Eintrag des FortiToken auf der VDOM. 
          
          NOTE Soll die Konfiguration über CLI durchgeführt werden gebe in der CLI folgendes ein:
               
               # config vdom
               # edit [Name der VDOM]
               # config user fortitoken
               # get
               # delete [Wähle den entsprechenden Eintrag der zu löschen ist]
               # end
          
       4. Gehe auf die "neue" VDOM auf der der FortiToken registriert werden soll.
       5. Wähle auf der "neuen" VDOM "Create New":
          
          --> Wähle "Hard Token"
          --> Gebe die "gesicherte Serial Nummer" ein
          --> Bestätige durch "OK"
          
          NOTE Soll die Konfiguration über CLI durchgeführt werden gebe in der CLI folgendes ein:
               
               # config vdom
               # edit [Name der VDOM]
               # config user fortitoken
               # edit [FortiToken Nummer]
               # end

Brauche ich beim FortiToken auf der FortiGate für jeden Clustermember eine eigene Lizenz?

FortiToken kann vor/nach Einrichtung eines HA-Clusters (ForitGate oder FortiAuthenticator) eingerichtet werden. Lizenzen für FortiToken Mobile müssen dabei auf dem Hauptgerät eingespielt werden.

FortiToken werden nach finaler Konfiguration des Clusters auf alle darin integrierten Geräte übertragen. Somit benötigt es pro HA-Cluster jeweils 1x Lizenz für FortiToken Mobile.

Wieso kann ich meine FortiToken Mobile nicht mehr von einer FortiGate auf eine neue FortiGate uebertragen?

FortiToken Mobile unterstützt künftig keine Lizenzübertragungen zwischen unterschiedlichen Geräten mehr

Ab dem 4. August 2025 wird eine Änderung in der Lizenzrichtlinie für FortiToken Mobile wirksam.
Diese betrifft die Möglichkeit, Lizenzen zwischen verschiedenen Geräten zu übertragen.

Geltungsbereich:
Alle FortiToken Mobile SKUs, die mit FTM-ELIC beginnen, sind von dieser Änderung betroffen. Dazu gehören unter anderem:

• FortiToken Mobile-ELIC-5
• FortiToken Mobile-ELIC-10
• FortiToken Mobile-ELIC-25
• FortiToken Mobile-ELIC-100
• FortiToken Mobile-ELIC-500
• FortiToken Mobile-ELIC-1000
• FortiToken Mobile-ELIC-2000
• FortiToken Mobile-ELIC-5000
• FortiToken Mobile-ELIC-10000

Wichtig: FortiToken Mobile Lizenzen, die vor dem 4. August 2025 ausgeliefert wurden, sind von dieser Regelung nicht betroffen. Diese können weiterhin zwischen Geräten übertragen werden.

Lösungsansatz und Hintergrundinformationen:
FortiToken Mobile Lizenzen sind an eine bestimmte Seriennummer eines FortiGate- oder FortiAuthenticator-Geräts gebunden.

Ab dem 4. August 2025 ausgelieferte Lizenzen dürfen nicht mehr von einem Gerät auf ein anderes übertragen werden. Die FortiToken-Bestellregeln im Ordering Guide machen deutlich, dass für „Device-managed FortiToken“ (also FortiToken Mobile) keine Lizenzübertragung erlaubt ist.

Für Lizenzen, die vor dem Stichtag erworben wurden, ist weiterhin eine Übertragung auf ein anderes Gerät möglich – z. B. wenn ein Gerät ausser Betrieb genommen wird. Lizenzen, die nach dem Stichtag(4. August 2025) gekauft wurden, können nur noch im Rahmen eines RMA-Falls (Return Material Authorization) übertragen werden.

Diese Änderung erfolgt aus sicherheitstechnischen Gründen. Weitere Details findest Du in der SKU-Beschreibung im FortiToken-Datenblatt.

Wichtiger Hinweis zur RMA-Übertragung: Nach Inkrafttreten dieser Richtlinie ist eine Lizenzübertragung ausschliesslich im Rahmen eines RMA-Falls möglich. Die Konfiguration muss dabei manuell migriert werden, einschliesslich einer Neuprovisionierung der Tokens – was nicht transparent für Endnutzer geschieht. Eine Anleitung zur Migration findest Du im Artikel: Fortinet KB Artikel Shift + Linke Maustaste

Wenn Du ein Gerät aus einem anderen Grund ersetzt (kein RMA), musst Du:

1. Eine neue FortiToken Mobile Lizenz erwerben.
2. Diese auf dem neuen Gerät aktivieren
3. Die Tokens wie bei einem RMA-Fall bei den Users neu provisionieren.

Was bedeutet „Lizenzübertragung“ konkret?
Der Begriff „Lizenzübertragung zwischen Geräten“ bezieht sich ausschliesslich auf FortiGate- und FortiAuthenticator-Geräte.

Die Übertragung eines vorhandenen Tokens auf ein anderes Mobilgerät (z. B. nach Gerätewechsel beim Benutzer) ist nach wie vor möglich und nicht von dieser Änderung betroffen.

Folgende Produkte sind nicht von der Änderung betroffen:

• FortiToken Cloud
• Hardwarebasierte FortiToken-Produkte

Migration zu FortiToken Cloud:
Als Alternative kannst Du FortiToken Mobile Lizenzen in eine FortiToken Cloud Lizenz umwandeln – und das ohne Neuprovisionierung der Tokens für Endnutzer.

Die entsprechende Vorgehensweise ist im FortiToken Cloud Administrator-Handbuch dokumentiert. FortiToken Cloud Vorteile:

• Nutzbar über mehrere Fortinet-Geräte hinweg
• Abonnementmodell statt dauerhafter Lizenz
• Bei Migration erhältst Du ein kostenfreies Jahresabo für FortiToken Cloud

add 21.07.2025 - 4Tinu | Microsoft Copilot hat mir geholfen

Wie wird bei FortiToken Cloud abgerechnet?

Die Kosten pro Tag von FortiToken Cloud (FTC) werden gemäss folgender Formel kalkuliert:

Daily Point Usage =
(Gesamtzahl FTC User am entsprechenden Tag) x (1 / Anzahl Tage entsprechender Monat)

FTC bietet eine flexible Lizenzierung, wobei Anzahl User und Tage variabel kalkulierbar sind -> Beispiel:

• Neue Lizenz (z.B. FTC-LIC-120) deckt am 1. April 2021 90x Enduser ab
  
• Folglich zieht FTC am 1. April 2021 3x Daily Points (= 90 User x 1/30d) ab
  
• Folglich zeigt FTC Dashboard am 1. April 2021 folgendes:
  

Current Month Usage: 3 Points
Current Balance: 117 Points (= 120 – 3)

Hat man z.B. für April 2021 (i.e. 30 Tage) insgesamt 3x User, zeigt FTC Dashboard am 30. April 2021
ebenfalls 3 Points an -> gemäss folgender Kalkulation:

(3 User x 1/30d) x 30 Tage (gesamter April) = 3

Weiter zu beachten ist:

FTC wird ähnlich wie FortiToken Mobile verwendet, der Hauptunterschied ist jedoch, dass keine "statischen" Lizenzen gekauft werden, sondern ein Kontingent an Points (z.B. 120 gemäss oberem Beispiel), welche an die betreffenden User verteilt werden.

Die Points haben eine Gültigkeit von 1 Jahr.

Ähnlich wie FortiToken Mobile, erhält man Push-Benachrichtigungen. Bei FTC alternativ auch als SMS: Pro 250 SMS (an alle User) wird 1 Point abgezogen.

Siehe auch Lincensing Guide: Datei:Adding FTC Linceses.pdf

FortiToken Divers

Wie wird ein FortiToken Aktiviert und Synchronisiert?

Ein FortiToken muss nicht über das Customer Center registriert werden sondern kann auf dem zuständigen Device direkt aktiviert werden und zwar folgendermassen:

       NOTE Wichtig bei diesem Vorgang ist, dass der Device die richtige Zeit zeigt sowie NTP (Network Time Protocoll) korrekt konfiguriert ist.
            Ebenso muss gewährleistet sein, dass der Device Zugriff hat auf den FDN (Fortinet Distribution Network) resp. FortiGuard Service! Ein 
            FortiToken kann nicht auf vers. Device Registriert werden. Der Grund dafür und was zu tun ist kann folgenden Artikel entnommen werden:
               
               FortiToken:FAQ#Wie_und_wo_werden_die_FortiToken_.22Seeds.22_eines_FortiToken_gespeichert.2Fgesichert.3F

       --> Logge Dich ein auf dem Management Web Interface (Beispiel FortiGate)
       --> Danach wähle "User > FortiToken > FortiToken
       --> Wähle "Create New" und gebe dann die Serien Nummer des FortiToken ein und bestätige die Eingabe mit "OK"
       --> Durch die Bestätigung mit "OK" wird eine Anfrage zum FDN abgesetzt um den FortiToken zu aktivieren
       --> Wenn man nach einigen Sekunden auf "Refresh" geht sollte das Status Feld auf "Active" wechseln
       --> Nun selektiere den "Active" FortiToken und in der Toolbar selektiere "Synchronization"
       --> Nun erscheint ein neuer Dialog um den FortiToken zu Synchronisieren
       --> Klicke auf "Start" auf dem FortiToken und gebe im Dialog den "6-digit token password" im ersten "Code" Feld ein
       --> Warte bis dieses erste "6-digit token password" abgelaufen ist und klicke abermals auf "Start" auf dem FortiToken
       --> Gebe nun wiederum das angezeigte "6-digit token password" im zweiten "Code" Feld ein und bestätig mit "OK"

Die Konfiguration resp. die Aktivierung des FortiToken ist abgeschlossen. Weitere Auskunft über diesen Vorgang gibt folgendes Dokument:

       Datei:Fortitoken-200-quickstart.pdf

Desweiteren ist zu berücksichtigen, dass bei einem FortiToken-200CD der Vorgang nicht analog FortiToken 200 ist da das Seed File der FortiToken verschlüsselt auf einer CD mitgeliefert wird. Nachfolgendes Dokument gib Auskunft wie die Aktivierung für FortiToken-200CD durchzuführen ist:

       Datei:Fortitoken-200CD-activation.pptx

Wie wird ein FortiToken Mobile Trial Aktiviert?

Bei jeder FortiGate stehen 2 FortiToken Mobile Trial zur Verfügung. Diese FortiToken Mobile Trial können folgendermassen aktiviert werden:

       1)   Verifiziere auf der FortiGate das mindestens ein "SMTP Server" und/oder ein "SMS Server" konfiguriert wurde!
            
            NOTE Um zB einen "SMTP Server" oder einen "SMS Server" zu konfigurieren gehe folgendermassen vor:
                 
                 FortiOS 5.0        System > Config > Messaging Servers
                 FortiOS 5.2        System > Config > Advanced
                 
                 Weitere Informationen siehe auch folgende Artikel:
                 
                 FortiGate-5.0-5.2:FAQ#Wie_konfiguriere_ich_meinen_eigenen_SMS_Provider.2FServer.3F
                 FortiGate-5.0-5.2:FAQ#Wo_kann_ich_f.C3.BCr_Alert.27s_etc._einen_Email_Server_definieren_und_kann_ich_eine_Verschl.C3.BCsselung_benutzen.3F

       2)   Als nächster Schritt muss nun ein User erstellt werden basierend auf Two-Factor Authentication anhand der zur
            Verfügung stehenden "Messaging Server" (SMTP, SMS Server). Dazu siehe nachfolgender Artikel:
            
            FortiGate-5.0-5.2:FAQ#Wie_aktiviere_ich_f.C3.BCr_einen_lokalen_User_Two-Faktor_Authentication_anhand_ODA.3F
            
            NOTE Wenn unter FortiOS 5.2.x ein existierender User herangezogen wird um eine der FortiToken Mobile Trial
                 zu zuweisen, dann muss innerhalb der Konfiguration ein Aktivierungs Code gesendet werden dh. dazu steht 
                 neben dem "Token Field" ein Button zur Verfügung "Send Activation Code".

       3)   Wenn die "Messaging Server" (SMTP, SMS Server) korrekt konfiguriert wurden erhält der User über den "Messaging
            Server" einen "Aktivierungs Code" (Alphanumierisch 16 Stellen).

       4)   Nun kann auf dem entsprechenden Mobile Device die Applikation "FortiToken Mobile" gestartet resp. geöffnet werden!
            In dieser Applikation wähle:
            
            "Enter Manually" oder "Scan Barcode"
            
            NOTE "Scan Barcode" kann nur dann benutzt werden wenn eine "printed version" des "Aktivierungs Code" über den 
                 "Messaging Server" versendet wurde.

       5)   Wähle im nächsten Schritt "Fortinet Account". Füge die entsprechende E-Mail Adresse hinzu dh. die E-Mail Adresse des
            User für den der "FortiToken Mobile Trial" konfiguriert wird resp. analog die E-Mail Adresse die benutzt wurde um den
            "Aktivierungs Code" zu versenden"!

       6)   Nun kann der 16 stellige Alphanumerische Code eingegeben werden. Sofern mit der Nachricht des "Aktivierungs Codes" ein
            "Barcode Scan" übermittelt wurde kann nun ebenfalls dieser benutzt werden anstelle des "16 stelligen Alphanumerischen
            Codes"!

Die Konfiguration ist abgeschlossen und die Two-Factor Authentication für den User kann nun entsprechend getestet werden.

Ein FortiToken kann nicht Aktiviert werden; Was ist zu berücksichtigen?

Ein FortiToken wird über den FortiGuard Service aktiviert dh. die Limitierung bestand darin, dass ein FortiToken "nur" auf einem Device (zB FortiGate) aktiviert werden kann. Will man zB ein FortiToken von einem Device zu einem anderen Device verschieben, funktionierte dies nicht und die Aktivierung auf dem neuen Device kann nicht durchgeführt werden. Detailliert Informationen wieso dem so ist kann im nachfolgenden Artikel nachgelesen werden:

       FortiToken:FAQ#Wie_und_wo_werden_die_FortiToken_.22Seeds.22_eines_FortiToken_gespeichert.2Fgesichert.3F

Wenn so ein Fall eintrifft muss ein "Customer Care" Ticket eröffnet werden damit Fortinet das "Activation Flag" zurücksetzt und somit der FortiToken auf dem neuen Device erfolgreich aktiviert werden kann. Bei Problemen mit der Aktivierung kontrolliere als Erstes ob die Zeit auf dem zuständigen Device einwandfrei stimmt (NTP). Wenn dies der Fall ist führe folgendes aus:

       NOTE Wenn FortiToken als Package bezogen werden zB 5er Package und man in der ersten Phase 2 Token's benutzt und die restlichen beiseite
            legt werden die restlichen FortiToken aus Sicherheitsgründen automatisch deaktiviert. Der Zeitraum der Deaktivierung liegt ca. bei
            4 - 6 Monaten. Diese Information stammt vom "Customer Care Center" der Fortinet. In so einem Fall muss für den Device auf dem die
            FortiToken aktiviert werden möchten ein "Customer Care" Ticket eröffnet werden mit der Bitte das "Activation Flag" des entsprechenden
            FortiToken's wiederum zu aktivieren!
            
            Achtung noch folgendes ist zu beachten : FortiToken:FAQ#Wie_lange_habe_ich_Zeit_um_einen_FortiToken_zu_registrieren.2Faktivieren.3F

       # diag debug app fdsmgmt 255
       # diag debug enable
       # exe fortitoken activate FTK20014K2P[Serial Nummer FortiToken]

Ein Beispiel-Output einer erfolgreichen Aktivierung sieht folgendermassen aus:

       Activating FortiToken(s)
       02:03:49 fdsm_fsm.c[586] fdsm_fsm_task_signal - got task signal
       02:03:49 fdsm_fsm.c[220] __run - type=0 state=idle
       02:03:49 fdsm_fsm.c[49] __change_state - (idle -> start)
       02:03:49 fdsm_task.c[331] fdsm_task_set_status - [47]new -> received
       02:03:49 fdsm_fsm.c[250] __run - processing task (id=47)
       02:03:49 fdsm_fsm.c[49] __change_state - (start -> get-server)
       02:03:49 fdsm_svr.c[223] __get_next_fds - got FDS 216.156.209.22:443
       02:03:49 fdsm_comm.c[210] __ssl_create - SSL create context
       02:03:49 fdsm_fsm.c[49] __change_state - (get-server -> tcp-connect)
       02:03:49 fdsm_fsm.c[201] __add_timer - added timer (30 sec)
       02:03:49 fdsm_fsm.c[508] __handle_poll_event - state=tcp-connect
       02:03:49 fdsm_fsm.c[85] __del_timer - cancelled timer
       02:03:49 fdsm_fsm.c[220] __run - type=0 state=tcp-connect
       02:03:49 fdsm_fsm.c[296] __run - TCP connected to server
       02:03:49 fdsm_comm.c[293] __ssl_prepare - ready to connect SSL
       02:03:49 fdsm_fsm.c[49] __change_state - (tcp-connect -> ssl-connect)
       02:03:49 fdsm_comm.c[335] __ssl_connect - SSL connect - want read
       02:03:49 fdsm_fsm.c[201] __add_timer - added timer (30 sec)
       02:03:50 fdsm_fsm.c[508] __handle_poll_event - state=ssl-connect
       02:03:50 fdsm_fsm.c[85] __del_timer - cancelled timer
       02:03:50 fdsm_fsm.c[220] __run - type=0 state=ssl-connect
       02:03:50 fdsm_comm.c[335] __ssl_connect - SSL connect - want read
       02:03:50 fdsm_fsm.c[201] __add_timer - added timer (30 sec)
       02:03:50 fdsm_fsm.c[508] __handle_poll_event - state=ssl-connect
       02:03:50 fdsm_fsm.c[85] __del_timer - cancelled timer
       02:03:50 fdsm_fsm.c[220] __run - type=0 state=ssl-connect
       02:03:50 fdsm_comm.c[335] __ssl_connect - SSL connect - want read
       02:03:50 fdsm_fsm.c[201] __add_timer - added timer (30 sec)
       02:03:50 fdsm_fsm.c[508] __handle_poll_event - state=ssl-connect
       02:03:50 fdsm_fsm.c[85] __del_timer - cancelled timer
       02:03:50 fdsm_fsm.c[220] __run - type=0 state=ssl-connect
       02:03:50 fdsm_comm.c[326] __ssl_connect - SSL connected
       02:03:50 fdsm_cmd.c[3893] __ftk_activate_build_request - FCPC for FortiToken Activation is: Protocol=3.2|Command=Update|Firmware=FGT1KB-FW-4.00-482|SerialNumber=FGT1KB390xxxxxxx|TokenItem=FTK200140D0xxxxx
       02:03:50 fdsm_cmd.c[217] __build_fcpc_request - built request (len=310)
       02:03:50 fdsm_comm.c[482] fdsm_comm_send_request - POST http://216.156.209.22:443/FDSService/token HTTP/1.1
       
       User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
       Host: 216.156.209.22:443
       Cache-Control: no-cache
       Connection: close
       Content-Type: application/octet-stream
       Content-Length: 310
       
       02:03:50 fdsm_comm.c[539] fdsm_comm_send_request - wrote request (len=310)
       02:03:50 fdsm_fsm.c[49] __change_state - (ssl-connect -> wait-resp-header)
       02:03:50 fdsm_fsm.c[201] __add_timer - added timer (30 sec)
       02:03:50 fdsm_fsm.c[508] __handle_poll_event - state=wait-resp-header
       02:03:50 fdsm_fsm.c[85] __del_timer - cancelled timer
       02:03:50 fdsm_fsm.c[220] __run - type=0 state=wait-resp-header
       02:03:50 fdsm_comm.c[580] fdsm_comm_recv_header - read 124 bytes, cnt 124 bytes
       02:03:50 fdsm_comm.c[593] fdsm_comm_recv_header - HTTP response code=200
       02:03:50 fdsm_comm.c[616] fdsm_comm_recv_header - Got header: resp=200 content=560 bufcnt=0
       02:03:50 fdsm_fsm.c[49] __change_state - (wait-resp-header -> wait-resp-data)
       02:03:50 fdsm_fsm.c[201] __add_timer - added timer (30 sec)
       02:03:50 fdsm_fsm.c[508] __handle_poll_event - state=wait-resp-data
       02:03:50 fdsm_fsm.c[85] __del_timer - cancelled timer
       02:03:50 fdsm_fsm.c[220] __run - type=0 state=wait-resp-data
       02:03:50 fdsm_cmd.c[409] __recv_fcpr_pkg - got rsp header
       02:03:50 fdsm_cmd.c[460] __verify_fcpr - FCPR obj: Protocol=3.2|Response=204|Firmware=FPT033-FW-3.21-0766|SerialNumber=FPT-FDS-DELL0007|Server=FDSG|Persistent=f alse|ResponseItem=01000000FTSI00000:200
       02:03:50 fdsm_cmd.c[478] __verify_fcpr - invalid FCPR response code: expected 300, received 204
       02:03:50 fdsm_cmd.c[1059] __update_parse_response - Parsing object(s) for request 13
       02:03:50 fdsm_cmd.c[1067] __update_parse_response - Processing object FTSI...
       02:03:50 fdsm_cmd.c[878] __update_process_ftsr - FTK200140D0xxxxx
       02:03:50 fdsm_cmd.c[1092] __update_parse_response - Processed obj FTSI (code=200)
       02:03:50 fdsm_cmd.c[435] __recv_fcpr_pkg - Processed fcpr
       02:03:50 fdsm_task.c[331] fdsm_task_set_status - [47]received -> complete
       02:03:50 fdsm_fsm.c[439] __run - Task completed
       02:03:50 fdsm_fsm.c[163] __reset - FSM RESET
       02:03:50 fdsm_comm.c[195] __reset - COMM RESET
       02:03:50 fdsm_comm.c[378] __ssl_close - Closed
       02:03:50 fdsm_task.c[348] fdsm_task_free - task freed
       02:03:50 fdsm_fsm.c[49] __change_state - (wait-resp-data -> idle)
       
       Done.
       
       # diag debug disable
       # diag debug reset

Wenn die Aktivierung nicht erfolgreich ist, sollte dieser Output benützt werden um bei Fortinet ein Ticket zu eröffnen (Customer Service)! Eine weitere Möglichkeit ein Troubleshooting durchzuführen ist die Folgende:

       Schritt 1: Eruiere den Generellen Status:
       
       # execute ping fds1.fortinet.com
       # execute ping directregistration.fortinet.com
       # show sys central
       # show full sys central
       
       NOTE Wenn die Status Information darauf hindeuten, das ein FortiManager die Tokens verwaltet können die nächste
            Schritte ignoriert werden da die Tokens über den FortiManager anstelle von FortiGaurd "Provisioniert" werden
            müssen.

       Schritt 2: Eruiere den Momentanen Status:
       
       # diagnos fortitoken info
       # show user fortitoken
       # show full | grep -f FTK
       
       NOTE Durch den Status können der ausgegeben wird könne zwischen 2 Situationen unterschieden werden:
            
            a) Wenn der Token die Position "set seed..." aufgelistet wird in "show user" jedoch wird für "fortitoken info" 
               ein Error aufgelistet muss der FortiToken zuerst gelöscht werden!
               
            b) Wenn der Token ohne die Positon "set see.." aufgelistet wird kann dieser in "Schitt 4" aktiviert werden!

       Schritt 3: Aktiviere Debugging:
       
       #  diagnose debug reset
       #  diagnose debug console time en
       #  diagnose debug app forticldd 255
       #  diagnose debug en
       #  diagnose debug info

FortiToken 200 is activated through the FortiGuard network and is locked upon firstactivation (one-time activation lock). If your tokens lock were released recently, you will have only one chance to activate and catch an error if an issue occurs.

       Schritt 4: Edit FortiToken:
       
       NOTE Wurde der FortiToken gelöscht da "Schritt 2 a)" zutraf muss nachfolgender Schritt hier ausgeführt werden
            jedoch nicht "Schritt 5" für die Aktivierung!
       
       # config user fortitoken
       # edit [FortiTokenSN]
       # end

       Schritt 5: Aktivierung FortiToken:
       
       # execute fortitoken activate [FortiTokenSN]

       Schritt 6: Ueberprüfung event. Fehlermeldungen sowie "unusal" Status:
       
       # diagnose fortitoken info | grep -v active

       Schritt 7: Ueberprüfung des Status:
       
       NOTE Alle Tokens sollten nun "aktiviert" sein sowie beinhaltet jeder Token in der Konfig dessen "seed"!
       
       # diagnose fortitoken info
       # show user fortitoken
       # disable debug
       # diagnose debug reset
       # diagnose debug disable

Auch hier ist zum Abschluss zu sagen das die ganze Prozedur über ein Log (putty) aufgezeichnet werden sollte damit die Informationen sofern diese nicht zum Erfolg führen für ein allfälliges Ticket bei TAC Fortinet zur Verfügung stehen.

Kann ich auf einer FortiGate mehrere FortiToken einem User zuweisen?

Wenn man zB einem User einen FortiToken sowie einen Mobile Token zuweisen möchte ist das so nicht möglich. Dies bedeutet: Einem User kann nur ein Token sei es FortiToken oder Mobile Token zugewiesen werden.