FortiGate에서 Admin 비밀번호 expire 설정

 

 

Product : FortiGate

 

Detail : FortiGate의 Administrator에 Password expire를 적용하였을 때의 동작

    1. FortiGate Admin password Expire 설정 방법

    2. 실제 동작 여부

    3. 만료시 이메일 발송 설정

 

---

 

Solution :

    각 FortiGate의 관리자(Administrator) 계정의 보안을 위해, 관리자 접속암호의 만료 시간을 설정할 수 있음.

    이는 CLI 및 GUI 상에서 설정 가능하며, 입력값은 1~999(일) 까지 설정 가능하다.

    예를들어 3(일)로 설정시, 현재 시간을 기준으로 3일 뒤, 현재 시간에 패스워드가 만료된다.

    

    비밀번호가 만료된 계정은, 재로그인시, 신규 패스워드를 요구하며

    이는 설정한 Password Policy 작성 규칙을 따름.

 

 

    -1. FortiGate Admin password Expire 설정 방법

        FortiGate CLI console을 통해 접속하여,

        # Config system password-policy 의 명령어를 사용하여 설정하거나,

        아래 이미지와 같이 GUI상에서 Expire day를 설정할 수 있다.

FortiGate GUI를 통한 Password expire 설정

 

        CLI를 통해 접속시, 정확한 만기 시점 확인 가능.

FortiGate CLI상에서 확인한 패스워드 만료시간

 

 

    -2. 실제 동작 여부

        FortiGate NTP 설정값을 Manual로 변경하여, 수동으로 '만료 시간이 지난 시점'으로 설정.

비밀번호 만료 시점으로부터 30분 지난 시간으로 설정

 

        관리자 ID로 재접속 시도시, 비밀번호 변경 시퀸스가 실행되어 신규 패스워드를 입력받음.

        신규 패스워드로 설정할 값은, 자신이 설정한 FortiGate Password Policy 규칙을 따라 설정해야함.

Administrator 패스워드 만료 후, 접속시의 GUI 화면

 

        이와 같은 결과는 FortiGate의 System Event에서 세부내용 확인 가능.

FortiGate 비밀번호 만료시의 Event Log (상단이 최신)

 

 

    -3. 만료시, 이메일 발송 설정

        비밀번호 만료에 대한 관리자의 능동적인 관리/대처를 위해

        비밀번호 만기 시 찍히는 Event Log를 이용하여 이메일 발송 등의 설정이 가능.

FortiGate Automation 기능을 이용한, 자동 메일 발송 설정

관리자가 FortiGate로부터 전달받은 Expire에 대한 정보

 

 

 

Link : FortiGate Admin password Expire

 

Limit :

    설정 시 주의할 점.

        -위의 설정 사항들은, Admin User 및 IPsec Pre-shared Key 값에 대한 설정 내용으로,

        방화벽 Local User, Remote User 등의 설정과는 별개로 동작함.