Technische toelichting en configuratieadvies
Vanaf FortiOS 7.6.1 is het niet meer toegestaan dat een door een FortiGate beheerde FortiSwitch geen lokaal admin-wachtwoord heeft. Waar het voorheen mogelijk was om na provisioning direct zonder wachtwoord op een FortiSwitch in te loggen, wordt dit vanaf deze versie automatisch afgedwongen.
Wanneer een FortiSwitch door de FortiGate wordt beheerd via de Switch Controller, configureert de FortiGate automatisch een willekeurig gegenereerd admin-wachtwoord op de FortiSwitch. Hierdoor is het niet meer mogelijk om de eerste keer zonder wachtwoord op de switch in te loggen. Dit kan vooral merkbaar zijn na een upgrade naar FortiOS 7.6.1 of hoger, of bij het toevoegen van nieuwe FortiSwitches aan een bestaande FortiGate-omgeving.
Om te voorkomen dat het admin-wachtwoord per switch onbekend of willekeurig is, kan vanuit de FortiGate een centraal wachtwoord worden ingesteld voor alle FortiSwitches die gebruikmaken van een bepaald switch-profiel. Dit wordt geconfigureerd binnen het switch-controller switch-profile.
Met onderstaande CLI-configuratie wordt voor het standaard switch-profiel ingesteld dat het lokale login-wachtwoord van de FortiSwitches wordt overschreven door een vooraf bepaald wachtwoord:
config switch-controller switch-profile
edit "default"
set login-passwd-override enable
set login-passwd <your-new-password>
next
endÂ
Toelichting op de configuratie
set login-passwd-override enable
Deze optie zorgt ervoor dat de FortiGate het login-wachtwoord op de gekoppelde FortiSwitches actief beheert en overschrijft.
set login-passwd <your-new-password>
Hiermee wordt het gewenste admin-wachtwoord opgegeven dat op de FortiSwitches wordt toegepast.
Na het uitvoeren van deze configuratie zal de FortiGate het opgegeven wachtwoord pushen naar de FortiSwitches die aan dit switch-profiel zijn gekoppeld. Vanaf dat moment kan met dit wachtwoord lokaal op de FortiSwitch worden ingelogd, bijvoorbeeld via console of managementtoegang.
Advies
Gebruik hiervoor een sterk en uniek wachtwoord en leg dit vast in het daarvoor bedoelde wachtwoordbeheerproces. Controleer daarnaast of alle FortiSwitches daadwerkelijk het juiste switch-profiel gebruiken, zodat het wachtwoord op alle gewenste switches wordt toegepast. Voer deze wijziging bij voorkeur gecontroleerd uit en verifieer daarna op minimaal één FortiSwitch of lokale aanmelding met het nieuwe wachtwoord correct werkt.
