はじめに
初記事です。
そして自分の備忘録のためだけの記事です。
もし同じようなことで困っていたりしている人のお手伝いになれば幸いです。
どんな作業をしていたのか
FortiGateのOSアップデート作業が予定され、
それに伴い本番機のコンフィグを提供してもらいアップデート後も現在と同様に動作ができるのかを検証していました。
アップデートパスの間にある、ver6.2.0からSuper adminとGlobal adminの仕様に若干の変更が入っていました。
詳しくはリリースノートのSystemの部分を確認してください: リリースノート
エンドユーザ様から提供いただいた現行のコンフィグファイルを、
検証機にリストアしてポリシーテストやアップデートのテストを進めていました。
その中でadminの仕様の違いでver6.2.0以上からリストアができなくなっていることが確認でき、
Super adminのプロファイルを持っているアカウントが存在していないことを確認しました。
原因
Super adminのアカウントはSuper adminのプロファイルを持つアカウントでログインしないとコンフィグをバックアップしても出力されないことが確認されました。
そのため、Super admin以外のアカウントで出力されて提供していただいたコンフィグファイルからリストアしていたので、adminの存在がそもそもなかったものとなっていました。
# config-version=FGT60D-6.0.12-FW-build0419-210127:opmode=0:vdom=0:user=admin
~~(中略)~~
config system admin
edit "admin"
set accprofile "super_admin"
set vdom "root"
~~(中略)~~
next
edit "test_user"
set accprofile "prof_admin"
set vdom "root"
~~(中略)~~
next
end
# config-version=FGT60D-6.0.12-FW-build0419-210127:opmode=0:vdom=0:user=test_user
~~(中略)~~
config system admin
edit "test_user"
set accprofile "prof_admin"
set vdom "root"
~~(中略)~~
next
end
改善点・反省点
この辺のログインユーザによってバックアップとして取得しているコンフィグファイルの内容も変わってきているっぽいです。
エンドユーザ様とも情報共有し以降の運用でバックアップを取得するときに気を付けていただけるように情報共有をしました。
そもそもこの事象を2年間放置していたので故障して筐体を入れ替えなどの対応になった場合は、
直近に取ったバックアップをかぶせていたでしょうから、
今回のログインユーザの問題でsuper_adminが見えない!というレベルの問題ではなかったと思われます。
今後新機器導入やもっと新しいバージョンでの導入になった場合は、
リリースノートや基本動作検証などの検証作業などもっとちゃんとやっていこうと思わされる事象でした。