FortiToken:FAQ
FortiToken:FAQ
Vorwort
Nachfolgende Artikel beschreiben die Vorgehensweise/Probleme die auftreten können für FortiToken's.
Datenschutz
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ AG SWITZERLAND. *
* *
*********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung von der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"
FAQ
Documentation
Wo findet ich die Dokumente wie Datasheets, Quick Start Guide, User Guide etc. ?
Ueber folgenden internen Link findet man Datasheets und Quick Start Guide betreffend FortiToken Devices:
Fortinet:ProduktInfo
Ebenfalls lohnt es sich folgenden Link anzuschauen der "Cookbook" ähnliche Dokumente und Video's beinhaltet:
http://community.fortinet.com/
Auf folgender Seite findet man alle orginal Dokumente betreffend Fortigate:
http://docs.fortinet.com/auth.html
Datei:Fortitoken-200-quickstart.pdf (Quickstart Guide)
Datei:FortiToken-Mobile-Admin-Guide-10.pdf (FortiToken Mobile 1.0 Admin Guide) Datei:FortiToken-Mobile-User-Guide-10.pdf (FortiToken Mobile 1.0 User Guide)
Datei:FortiToken-Mobile-User-Guide-20-for-IOS.pdf (FortiToken Mobile 2.0 User Guide for IOS) Datei:FortiToken-Mobile-User-Guide-220-for-IOS.pdf (FortiToken Mobile 2.2 User Guide for IOS)
Datei:FortiToken-Mobile-User-Guide-20-for-Android.pdf (FortiToken Mobile 2.0 User Guide for Android)
Gibt es einen Link auf die Fortinet Knowledgebase auf der die Artikel gelistet sind?
http://pub.kb.fortinet.com/index/
Divers
Wie wird ein FortiToken Aktiviert und Synchronisiert?
Ein FortiToken muss nicht über das Customer Center registriert werden sondern kann auf dem zuständigen Device direkt aktiviert werden und zwar folgendermassen:
ACHTUNG Wichtig bei diesem Vorgang ist, dass der Device die richtige Zeit zeigt sowie NTP (Network Time Protocoll) korrekt konfiguriert ist.
Ebenso muss gewährleistet sein, dass der Device Zugriff hat auf den FDN (Fortinet Distribution Network) resp. FortiGuard Service!
--> Logge Dich ein auf dem Management Web Interface (Beispiel FortiGate)
--> Danach wähle "User > FortiToken > FortiToken
--> Wähle "Create New" und gebe dann die Serien Nummer des FortiToken ein und bestätige die Eingabe mit "OK"
--> Durch die Bestätigung mit "OK" wird eine Anfrage zum FDN abgesetzt um den FortiToken zu aktivieren
--> Wenn man nach einigen Sekunden auf "Refresh" geht sollte das Status Feld auf "Active" wechseln
--> Nun selektiere den "Active" FortiToken und in der Toolbar selektiere "Synchronization"
--> Nun erscheint ein neuer Dialog um den FortiToken zu Synchronisieren
--> Klicke auf "Start" auf dem FortiToken und gebe im Dialog den "6-digit token password" im ersten "Code" Feld ein
--> Warte bis dieses erste "6-digit token password" abgelaufen ist und klicke abermals auf "Start" auf dem FortiToken
--> Gebe nun wiederum das angezeigte "6-digit token password" im zweiten "Code" Feld ein und bestätig mit "OK"
Die Konfiguration resp. die Aktivierung des FortiToken ist abgeschlossen. Weitere Auskunft über diesen Vorgang gibt folgendes Dokument:
Datei:Fortitoken-200-quickstart.pdf
Ein FortiToken kann nicht Aktiviert werden; Was ist zu berücksichtigen?
Bis anhin wurde ein FortiToken über den FortiGuard Service aktiviert dh. die Limitierung bestand darin, dass ein FortiToken "nur" auf einem Device (zB FortiGate) aktiviert werden konnte. Wollte man zB ein FortiToken von einem Device zu einem anderen Device verschieben, funktionierte die Aktivierung nicht mehr. In so einem Fall musste ein Ticket eröffnet werden damit Fortinet das "Activation Flag" zurücksetzt, damit der FortiToken auf dem neuen Device erfolgreich aktiviert werden konnte.
Seit August 2012 liefert Fortinet einen neuen FortiToken aus mit einer Aktivierungs CD (FTK-200CD) dh. somit kann der FortiToken anhand dieser CD aktiviert werden und ist nicht mehr auf den FortiGuard Service angewiesen. Somit kann ein FortiToken auch auf mehreren Device registriert resp. Aktiviert werden.
Beim Problemen mit der Aktivieren kontrolliere als Erstes ob die Zeit auf dem zuständigen Device einwandfrei stimmt (NTP). Wenn dies der Fall ist führe folgendes aus:
# diag debug app fdsmgmt 255
# diag debug enable
# exe fortitoken activate FTK20014K2P[Serial Nummer FortiToken]
Ein Beispiel output einer erfolgreichen Aktivierung sieht folgendermassen aus:
Activating FortiToken(s)
02:03:49 fdsm_fsm.c[586] fdsm_fsm_task_signal - got task signal
02:03:49 fdsm_fsm.c[220] __run - type=0 state=idle
02:03:49 fdsm_fsm.c[49] __change_state - (idle -> start)
02:03:49 fdsm_task.c[331] fdsm_task_set_status - [47]new -> received
02:03:49 fdsm_fsm.c[250] __run - processing task (id=47)
02:03:49 fdsm_fsm.c[49] __change_state - (start -> get-server)
02:03:49 fdsm_svr.c[223] __get_next_fds - got FDS 216.156.209.22:443
02:03:49 fdsm_comm.c[210] __ssl_create - SSL create context
02:03:49 fdsm_fsm.c[49] __change_state - (get-server -> tcp-connect)
02:03:49 fdsm_fsm.c[201] __add_timer - added timer (30 sec)
02:03:49 fdsm_fsm.c[508] __handle_poll_event - state=tcp-connect
02:03:49 fdsm_fsm.c[85] __del_timer - cancelled timer
02:03:49 fdsm_fsm.c[220] __run - type=0 state=tcp-connect
02:03:49 fdsm_fsm.c[296] __run - TCP connected to server
02:03:49 fdsm_comm.c[293] __ssl_prepare - ready to connect SSL
02:03:49 fdsm_fsm.c[49] __change_state - (tcp-connect -> ssl-connect)
02:03:49 fdsm_comm.c[335] __ssl_connect - SSL connect - want read
02:03:49 fdsm_fsm.c[201] __add_timer - added timer (30 sec)
02:03:50 fdsm_fsm.c[508] __handle_poll_event - state=ssl-connect
02:03:50 fdsm_fsm.c[85] __del_timer - cancelled timer
02:03:50 fdsm_fsm.c[220] __run - type=0 state=ssl-connect
02:03:50 fdsm_comm.c[335] __ssl_connect - SSL connect - want read
02:03:50 fdsm_fsm.c[201] __add_timer - added timer (30 sec)
02:03:50 fdsm_fsm.c[508] __handle_poll_event - state=ssl-connect
02:03:50 fdsm_fsm.c[85] __del_timer - cancelled timer
02:03:50 fdsm_fsm.c[220] __run - type=0 state=ssl-connect
02:03:50 fdsm_comm.c[335] __ssl_connect - SSL connect - want read
02:03:50 fdsm_fsm.c[201] __add_timer - added timer (30 sec)
02:03:50 fdsm_fsm.c[508] __handle_poll_event - state=ssl-connect
02:03:50 fdsm_fsm.c[85] __del_timer - cancelled timer
02:03:50 fdsm_fsm.c[220] __run - type=0 state=ssl-connect
02:03:50 fdsm_comm.c[326] __ssl_connect - SSL connected
02:03:50 fdsm_cmd.c[3893] __ftk_activate_build_request - FCPC for FortiToken Activation is: Protocol=3.2|Command=Update|Firmware=FGT1KB-FW-4.00-482|SerialNumber=FGT1KB390xxxxxxx|TokenItem=FTK200140D0xxxxx
02:03:50 fdsm_cmd.c[217] __build_fcpc_request - built request (len=310)
02:03:50 fdsm_comm.c[482] fdsm_comm_send_request - POST http://216.156.209.22:443/FDSService/token HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Host: 216.156.209.22:443
Cache-Control: no-cache
Connection: close
Content-Type: application/octet-stream
Content-Length: 310
02:03:50 fdsm_comm.c[539] fdsm_comm_send_request - wrote request (len=310)
02:03:50 fdsm_fsm.c[49] __change_state - (ssl-connect -> wait-resp-header)
02:03:50 fdsm_fsm.c[201] __add_timer - added timer (30 sec)
02:03:50 fdsm_fsm.c[508] __handle_poll_event - state=wait-resp-header
02:03:50 fdsm_fsm.c[85] __del_timer - cancelled timer
02:03:50 fdsm_fsm.c[220] __run - type=0 state=wait-resp-header
02:03:50 fdsm_comm.c[580] fdsm_comm_recv_header - read 124 bytes, cnt 124 bytes
02:03:50 fdsm_comm.c[593] fdsm_comm_recv_header - HTTP response code=200
02:03:50 fdsm_comm.c[616] fdsm_comm_recv_header - Got header: resp=200 content=560 bufcnt=0
02:03:50 fdsm_fsm.c[49] __change_state - (wait-resp-header -> wait-resp-data)
02:03:50 fdsm_fsm.c[201] __add_timer - added timer (30 sec)
02:03:50 fdsm_fsm.c[508] __handle_poll_event - state=wait-resp-data
02:03:50 fdsm_fsm.c[85] __del_timer - cancelled timer
02:03:50 fdsm_fsm.c[220] __run - type=0 state=wait-resp-data
02:03:50 fdsm_cmd.c[409] __recv_fcpr_pkg - got rsp header
02:03:50 fdsm_cmd.c[460] __verify_fcpr - FCPR obj: Protocol=3.2|Response=204|Firmware=FPT033-FW-3.21-0766|SerialNumber=FPT-FDS-DELL0007|Server=FDSG|Persistent=f alse|ResponseItem=01000000FTSI00000:200
02:03:50 fdsm_cmd.c[478] __verify_fcpr - invalid FCPR response code: expected 300, received 204
02:03:50 fdsm_cmd.c[1059] __update_parse_response - Parsing object(s) for request 13
02:03:50 fdsm_cmd.c[1067] __update_parse_response - Processing object FTSI...
02:03:50 fdsm_cmd.c[878] __update_process_ftsr - FTK200140D0xxxxx
02:03:50 fdsm_cmd.c[1092] __update_parse_response - Processed obj FTSI (code=200)
02:03:50 fdsm_cmd.c[435] __recv_fcpr_pkg - Processed fcpr
02:03:50 fdsm_task.c[331] fdsm_task_set_status - [47]received -> complete
02:03:50 fdsm_fsm.c[439] __run - Task completed
02:03:50 fdsm_fsm.c[163] __reset - FSM RESET
02:03:50 fdsm_comm.c[195] __reset - COMM RESET
02:03:50 fdsm_comm.c[378] __ssl_close - Closed
02:03:50 fdsm_task.c[348] fdsm_task_free - task freed
02:03:50 fdsm_fsm.c[49] __change_state - (wait-resp-data -> idle)
Done.
# diag debug disable
# diag debug reset
Wenn die Aktivierung nicht erfolgreich ist, sollte dieser Output benützt werden um bei Fortinet ein Ticket zu eröffnen (Customer Service)!
Haben meine FortiToken ein "Expiration Date"?
Im Gegensatz zu anderen Herstellern (zB RSA) laufen die FortiToken nicht ab dh. diese haben kein "Expiration Date".
Wo finde ich verschieden Details über die FortiToken zB wie diese funktionieren?
Für den FortiAuthenticator wurde ein "FAQ Released" das "sehr" viele Informationen betreffend FortiToken und deren Funktionsweise etc. beschreibt. Dieses Dokument findet man unter folgenden Link
Datei:FortiAuthenticator FAQ.pdf
Zusätzlich stehen im Artikel des FortiAuthenticatos einige nützliche Artikel zur Verfügung:
FortiAuthenticator:FAQ#Token