Ci-dessous la procédure à suivre pour passer le serveur LDAP en mode sécurisé (LDAPS) afin de permettre aux utilisateurs connectés au VPN SSL de changer leur mot de passe directement depuis le client lourd (FortiClient) ou depuis le Web Portal et de les avertir que leur mot de passe a expiré.
Procédure réalisée sur un FortiGate 301E en 6.2.4.
Aller dans User & Device > LDAP Servers.
Modifier le port en "636",
Activer la "Secure Connection", vérifier que "LDAPS" est bien sélectionné,
Faite un "Test Connectivity", le status doit être en "Successful".
Attention ! Vérifier que le compte utilisé dans la configuration à bien les droits pour changer un mot de passe dans l'annuaire AD.
Connectez-vous en CLI et taper les commandes suivantes afin d'autoriser le changement de password et l'alerte pour le mot de passe expiré.
config user ldap
edit "LDAP"
set password-expiry-warning enable
set password-renewal enable
next
end
endPour plus d'informations : https://kb.fortinet.com/kb/documentLink.do?externalID=FD49133
La partie "Certificat" n'est pas obligatoire