[ FortiGate ] Local user Password Policy 적용

이번에는 FortiGate 관리자를 위해 Local user Password Policy 정책 적용에 대해서 알아보도록 하자.

저번에 ForiClient VPN을 설치해보면서 사용자 등록까지는 진행을 완료 했을텐데 해당 사용자들의 비밀번호 변경 주기 설정과 더불어 비밀번호 만료일 경고 문구를 작성해보려고 한다.

 

SSL VPN with local user password policy | Cookbook

Fortinet의 문서이다. 영어가 되는 사람들은 해당 문서를 보면 보다 더 많은 내용을 알 수 있을 것이다.

필자는 펌웨어 버전에 맞는 가이드 문서를 PDF로 가지고 있는데 해당 가이드 문서 또한 여기서 다운로드 받을 수 있다.

 

그럼 정책을 적용하도록 해보자.

이전에 Two-Factor로 email 인증까지는 진행한 부분이다.

 

---

Password Policy 설정

---

Froticlient 관리자 페이지에서 CLI 명령어로 진입한다.

Password Policy 설정

config user password policy		//Password Policy Config
	edit "Vina_Policy"		//add entry or edit entry
    	set expire-days 30		//password 만료일
    	set warn-days 10		//경고문구 표기일
    next				//next
end					//end

순서대로 진행해주면 된다. 여기서 주의할 점은 expire-days와 warn-days의 int 형이 동일하면 안된다.

동일하게 설정해줄 경우 로그인을 할때마다 계속해서 비밀번호 변경을 요구하며, VPN 연결을 하더라도 다음번에 또 동일하게 비밀번호를 변경 하라고 한다.

 

그럼 이제 만들어준 password policy를 사용자에게 적용하자.

---

Password Policy 적용

---

동일하게 CLI 명령어에서 적용하고자 사용자 username으로 편집을 진행한다.

config user local

config user local						// local user config
	edit (username)						// edit user
    	set type password					// password set
    	set passwd-policy "Vina_Policy"				// password policy set
    next							// next
end

 

순서대로 진행하면 된다. 해당 사용자에 password 정책을 적용한 부분이다.

 

그럼 해당 사용자가 패스워드가 만료가 될 경우에

패스워드 만료 문구

해당 내용으로 패스워드 만료에 대한 내용을 보여주고 비밀번호를 변경하도록 유도한다.

 

 

---

참고로 필자가 ForiGate를 통해서 local user에게 VPN권한을 따로 빼서 줬던 부분이 있지만 약간 보안에 취약한점이 있는 것 같다. 

따라서 해당 비밀번호 만료일 기능을 넣어두더라도 Two-Factor 인증은 무조건 추가하도록 하자.

필자가 문서를 제대로 못 본것인지 하여 서비스 지원쪽에 연락을 해본 결과 단점이 있다.

 

System Password Policy

해당 System Password Policy 처럼 특수문자 / 대문자 / 소문자 / 최소 길이 등 해당 내용은 local user 패스워드 정책에 넣을 수 없다. 

그럼으로 해당 사용자는 숫자 1로 비밀번호를 할 수도 있고, 이전과 동일한 비밀번호로 변경을 진행해서 그대로 쓸 수 있는 단점이 있었다.

 

따라서 local user password 정책을 추가하기 전에 무조건 따로 Two-Factor 인증 요소를 추가할 수 있도록 하자.