🗺️ Sơ đồ Topology – Quản trị viên & Phân quyền
graph TD
subgraph FortiGate["FortiGate VM – Hệ thống tài khoản"]
superadmin["super_admin: Toàn quyền tất cả"]
netadmin["netadmin – Profile: net_operator – Chỉ cấu hình mạng"]
secadmin["secadmin – Profile: super_admin – Bảo mật & policy"]
ro_viewer["ro_viewer – Profile: read_only – Chỉ xem, không sửa"]
end
subgraph AccessFrom["Truy cập từ đâu?"]
GUI["GUI – https://192.168.1.1"]
SSH["SSH – port 22"]
Console["Console – PnetLab"]
end
GUI --> superadmin
GUI --> netadmin
SSH --> secadmin
Console --> superadmin
📚 Lý thuyết cơ bản (Dành cho người mới)
🔰 Tại sao cần phân quyền?
Hãy nghĩ đến một bệnh viện:
- Bác sĩ có thể xem và chỉnh sửa hồ sơ bệnh nhân.
- Lễ tân chỉ được xem lịch hẹn, không được sửa đơn thuốc.
- Bảo vệ chỉ kiểm tra người ra vào.
Tương tự, trong FortiGate:
- super_admin = toàn quyền (dành cho trưởng nhóm IT).
- netadmin = chỉ cấu hình mạng (dành cho kỹ thuật viên mạng).
- read_only = chỉ xem báo cáo (dành cho kiểm toán, ban lãnh đạo).
🔰 Các khái niệm cần biết
| Thuật ngữ | Giải thích đơn giản |
|---|---|
| Admin Profile | "Bộ quyền" – quy định admin được làm gì và không được làm gì |
| super_admin | Tài khoản quyền cao nhất, không ai có thể sửa được |
| read-write | Được xem VÀ chỉnh sửa |
| read-only | Chỉ được xem, không chỉnh sửa được |
| Password Policy | Quy tắc bắt buộc về mật khẩu (độ dài, ký tự đặc biệt...) |
| Expire | Mật khẩu hết hạn – buộc phải đổi mật khẩu mới sau X ngày |
🔰 Vì sao không nên dùng chung một tài khoản admin?
Nếu 5 người cùng dùng tài khoản
admin, khi có sự cố (cấu hình bị xóa, lỗi thiết lập), bạn không biết ai là người làm vì log chỉ ghi "admin đã thay đổi".→ Mỗi người phải có tài khoản riêng!
🛠️ Thực hành
Tạo Admin Profile (Bộ quyền)
config system accprofile
edit "net_operator"
set netgrp read-write
set loggrp read
set fwgrp read
next
endTạo tài khoản Admin
config system admin
edit "netadmin"
set accprofile "net_operator"
set password MyNetP@ss123
next
edit "secadmin"
set accprofile "super_admin"
set password MySecP@ss123
next
edit "ro_viewer"
set accprofile "read_only"
set password MyViewP@ss123
next
endBật Password Policy
config system password-policy
set status enable
set minimum-length 12
set uppercase-character 1
set lowercase-character 1
set number-character 1
set special-character 1
set expire-status enable
set expire-days 90
set reuse-password disable
end💡 Giải thích: Lệnh này bắt buộc tất cả mật khẩu admin phải có ít nhất 12 ký tự, gồm chữ hoa, chữ thường, số và ký tự đặc biệt (!@#$...), và phải đổi mới sau 90 ngày.
🔒 Bảo mật cần nhớ
- ✅ Không dùng chung tài khoản
admingiữa nhiều người. - ✅ Dùng profile tùy chỉnh – không gán
super_admincho vận hành hàng ngày. - ✅ Bật lịch hết hạn mật khẩu.
- ✅ Kiểm tra log: ai đã đăng nhập, ai thay đổi gì.
📖 Case thực tế
Team Network và team Security cùng dùng chung một tài khoản
admin. Một ngày, cấu hình firewall bị thay đổi sai, không ai nhận lỗi vì không ai biết ai đã làm.👉 Giải pháp: Tạo tài khoản riêng, gán đúng quyền, bật audit log.
📅 Tuần 2/12 – FortiOS 7.6.6 Administration Lab