A menudo puede pasar que tengamos que cambia el password de la cuenta “admin” en nuestro FortiGate. Si tenemos acceso físico al equipo y algunas herramientas más el password se puede resetear.

Importante: Este procedimiento requiere reiniciar el equipo.

¿Qué necesitamos?

  • Cable de consola
  • Software de terminal (Ej. Putty, para Windows o Terminal, para Mac)
  • Número de serie del equipo FortiGate
Procedimiento
  1. Conectamos la PC al firewall através del puerto de consola. En algunos modelos se utiliza un cable serial o RJ45 a Serial, mientras que otras unidades utilizan un cable USB y el software FortiExplorer para acceder al puerto de consola.
  2. Corremos el software Terminal
  3. Nos conectamos al firewall utilizando los siguientes valores:
    • Speed: Baud 9600
    • Data Bits: 8 bits
    • Parity: none
    • Stop Bits: 1
    • Flow Control: No Hardware Flow Control
  4. El firewall deberí responder con su nombre de host (si no lo hace presionar “enter”)
  5. Reiniciamos el firewall. Si no hay botón de power, desconectamos el cable de alimentación, esperamos 10 segundos y lo volvemos a conectar (Conectarlo antes puede causar corrupción de la memoria en algunas unidades).
  6. Esperamos a que aparezca una ventana donde se nos pedirá el nombre de usuario y el password.
  7. En nombre de usuario ingresamos: maintainer
  8. El password es bcpb + el número de serie del equipo. Por ejemplo, si el número de serie de nuestro FortiGate es FGT60C3G10016011, el password será: bcpbFGT60C3G10016011. Tener en cuenta que las letras en el número de serie van en mayúscula
  9. Una vez conectados, ya podemos reestablecer la contraseña tipeando lo siguiente:
    config system admin
      edit admin
      set password
    end

    El comando anterior se aplica en el caso de que no tengamos VDOMS habilitados. En caso de tenerlos habrá que tipear lo siguiente:

    config global
    config system admin
       edit admin
       set password
     end
Advertencia:

La cuenta maintainer es una especie de puerta trasera, por la cual cualquiera que conozca su existencia puede entrar al equipo con solo conocer el número de serie del equipo (vale como aclaració que, esta cuenta solo tiene permitido modificar el password de la cuenta admin, pero una vez modificado se puede ingresar como usuario administrador).

Esta opción se puede deshabilitar, aunque en ese caso, si perdemos el password y no disponemos de otra cuenta con permiso de superadmin, ya no tendremos forma de recuperar la cuenta.
Para deshabilitar la cuenta maintainer desde el CLI tipeamos:

config system global
  set admin-maintainer disable
end

Para habilitarla nuevamente tipeamos:

config system global
  set admin-maintainer enable
end