設(shè)置FortiGate管理員權(quán)限

設(shè)置FortiGate管理員權(quán)限本文檔針對所有FortiGate設(shè)備的管理員權(quán)限配置進(jìn)行說明。當(dāng)FortiGate恢復(fù)出廠設(shè)置后，管理員為admin,密碼為空。環(huán)境介紹：本文使用FortiGate400A做演示。本文支持的系統(tǒng)版本為FortiOSv3.0及更高。步驟一：新建一個管理員在系統(tǒng)管理一一管理員設(shè)置中可以看到現(xiàn)有管理員列表，點擊新建創(chuàng)建一個新管理員。普通管理員：填寫管理員用戶名，不能包括字符〈〉（）#"'?類型：規(guī)則：本地用戶類型，即用戶信息保存在FortiGate中，由FortiGate對用戶認(rèn)證遠(yuǎn)端：使用RADIUS、LDAP、TACACS+服務(wù)器對用戶進(jìn)行認(rèn)證，該選項需要預(yù)先配置好遠(yuǎn)端服務(wù)器。在設(shè)置用戶一一Remote中配置遠(yuǎn)端服務(wù)器并在用戶組中調(diào)用。PKI：使用數(shù)字證書進(jìn)行認(rèn)證，當(dāng)使用PKI時同一個賬戶只能有一個管理員登陸。通配符：在選擇遠(yuǎn)端時顯示，勾選該項則賬戶會通過遠(yuǎn)端服務(wù)器進(jìn)行認(rèn)證，不選則賬戶通過本地FortiGate認(rèn)證。輸入密碼：建議密碼至少使用6位字符，密碼最大長度不能超過32個字符可信主機(jī)：允許訪問FortiGate的IP地址或地址段，F(xiàn)ortiGate最多支持三個地址段，/表示所有主機(jī)都可以訪問。訪問表：選擇定義好的授權(quán)表，也可以創(chuàng)建新的授權(quán)表（點擊放大）（點擊放大）步驟二：配置授權(quán)表在管理員設(shè)置訪問內(nèi)容表中創(chuàng)建新的授權(quán)表；FortiGate有兩個內(nèi)建的授權(quán)表super_admin（可以完全管理設(shè)備）和super_admin_readonly（可以查看設(shè)備所有配置，無法修改），這兩個內(nèi)容表無法編輯和刪除。無：用戶不能查看配置，不能修改配置讀：用戶可以查看配置，不能修改配置寫：用戶可以查看配置，能修改配置（點擊放大）

新建授權(quán)表授權(quán)表名菇：詁冋控制□元 □讀 匚寫錐護(hù)oO I管理用戶?O ,FortiGu己rd升飯◎O I授權(quán)用戶oO系編配置O I網(wǎng)絡(luò)配置?O ,WebSS配置◎O I垃圾曲件過遵配置oo防病盂配置o IIPSK置?o ,路厭配置◎o IVPN配萱ooIMrP2P&HoIP配置oo I?防玄堵配置Qo ,?日志與報告0：o步驟三：配置管理員設(shè)置在管理員設(shè)置----設(shè)置中編輯Web管理接口：指FortiGate設(shè)備使用相關(guān)協(xié)議開放的TCP端口，例如HTTP80表示FortiGate可以被TCP80端口訪問。超時控制：指定多長時間內(nèi)管理員沒有管理設(shè)備則需要管理員重新登陸語言版本：選擇FortiGate管理頁面的語言GUI中支持IPV6:在管理頁面中支持IPV6配置激活PIN保護(hù)：對某些型號有效，可以設(shè)定FortiGate設(shè)備前面板中的LCD密碼啟用SCP：允許通過SSH登陸的用戶復(fù)制配置文件（點擊放大）

步驟四：查看當(dāng)前管理員在系