Passer au contenu principal

Associer un Active Directory à FortiGate Cloud pour l’authentification VPN

Voici les étapes à suivre pour permettre à vos utilisateurs du domaine Active Directory (AD) de se connecter au VPN FortiGate en utilisant leurs identifiants Windows.

1. Préparation côté Active Directory

  • Vérifiez l’accessibilité réseau entre le FortiGate et votre serveur AD (port 389 pour LDAP ou 636 pour LDAPS).

  • Identifiez un compte de service sécurisé avec les droits nécessaires pour interroger l’AD (évitez d’utiliser le compte administrateur principal).

2. Configuration du serveur LDAP dans FortiGate Cloud

  1. Accédez à l’interface d’administration FortiGate (dans le cloud ou sur votre appareil).

  2. Allez dans :
    User & Authentication > LDAP Servers (ou User & Device > LDAP Servers selon la version)

  3. Cliquez sur Create New pour ajouter un nouveau serveur LDAP.

  4. Renseignez :

    • Name : Un nom explicite (ex : AD-LDAP)

    • Server IP/Name : Adresse IP ou FQDN de votre contrôleur de domaine AD

    • Server Port : 389 (LDAP) ou 636 (LDAPS pour connexion sécurisée)

    • Common Name Identifier : généralement sAMAccountName

    • Distinguished Name (DN) : chemin de base (ex : dc=mondomaine,dc=local)

    • Bind Type : Regular

    • Username : DN du compte de service (ex : cn=ldapUser,cn=Users,dc=mondomaine,dc=local)

    • Password : mot de passe du compte de service

  5. Activez la connexion sécurisée (LDAPS) si possible et ajoutez le certificat adéquat.

  6. Testez la connectivité avec le bouton dédié et sauvegardez.

3. Création d’un groupe utilisateur lié à l’AD

  1. Accédez à :
    User & Authentication > User Groups

  2. Cliquez sur Create New.

  3. Ajoutez le serveur LDAP que vous venez de configurer.

  4. Sélectionnez les groupes AD ou filtres d’appartenance nécessaires (ex : un groupe spécifiquement dédié aux utilisateurs VPN).

4. Configuration du VPN SSL/IPsec avec authentification LDAP

  1. Accédez à :
    VPN > SSL-VPN Settings

  2. Configurez l’interface d’écoute (en général l’interface WAN).

  3. Associez le User Group LDAP précédemment créé à la politique VPN.

  4. Définissez les portails, permissions et ressources accessibles.

5. Configuration des politiques d’accès

  • Allez dans :
    Policy & Objects > IPv4 Policy

  • Ajoutez ou modifiez les règles pour autoriser le trafic entrant/extranet des utilisateurs VPN authentifiés via l’AD.

  • Sélectionnez comme source le groupe utilisateur LDAP.

6. Test de connexion

  • Demandez à un utilisateur du domaine de se connecter au VPN à l’aide de ses identifiants Windows (sAMAccountName/Mot de passe).

  • Vérifiez la journalisation des événements pour confirmer l’authentification.

Astuces et recommandations

  • Pas besoin d’importer manuellement chaque utilisateur : tant que l’utilisateur appartient au bon groupe AD, il pourra se connecter automatiquement sans duplication dans FortiGate123.

  • Support MFA : Pour plus de sécurité, vous pouvez intégrer un mécanisme MFA type FortiToken ou passer par Microsoft Entra ID pour SSO4.

  • Contrôle centralisé : Toute gestion des droits se fait ensuite depuis l’AD (ajout/suppression de membres de groupes).

Retour en haut