LDAP e VPN Client to Site no FortiGate: guia completo para sua empresa
A configuração LDAP para VPN Client to Site no FortiGate permite que os colaboradores acessem a rede corporativa com segurança usando as mesmas credenciais do Active Directory. Em primeiro lugar, isso elimina a necessidade de criar usuários separados no firewall. Além disso, centraliza o controle de acesso em um único lugar, facilitando a gestão e reduzindo riscos. Portanto, entender como essa integração funciona é essencial para qualquer empresa que adota trabalho remoto ou híbrido.
Por outro lado, configurar essa integração sem conhecimento técnico adequado pode abrir brechas de segurança sérias. Dessa forma, este guia explica o conceito, o passo a passo e as boas práticas que toda equipe de TI deve seguir. Em resumo, você vai sair daqui sabendo exatamente o que fazer e o que evitar.
O que é LDAP e por que ele é importante na VPN Client to Site
LDAP significa Lightweight Directory Access Protocol ou, em português, Protocolo Leve de Acesso a Diretório. Em primeiro lugar, ele é o protocolo que permite que sistemas de TI consultem bases de dados de usuários, como o Microsoft Active Directory. Portanto, quando um colaborador tenta se conectar à VPN, o FortiGate usa o LDAP para perguntar ao Active Directory: “esse usuário existe e a senha está correta?”
Além disso, o LDAP organiza os usuários em grupos e unidades organizacionais. Dessa forma, é possível definir que apenas colaboradores do grupo “Financeiro” acessem determinados recursos da rede via VPN e bloquear todos os demais automaticamente. Consequentemente, o controle de acesso fica muito mais granular e seguro.
Por outro lado, sem a integração LDAP, o administrador precisaria criar e gerenciar usuários manualmente no FortiGate. Isso significa senhas diferentes, retrabalho constante e risco de contas esquecidas ativas após demissões. Por isso, integrar o LDAP ao FortiGate é uma das primeiras configurações que qualquer empresa deve fazer ao implantar VPN corporativa.
Em resumo, o LDAP transforma o Active Directory no ponto central de verdade para autenticação. Sobretudo em empresas com muitos colaboradores remotos, essa centralização poupa tempo, reduz erros e fortalece a segurança.
O que é VPN Client to Site e como ela funciona
A VPN Client to Site cria um túnel criptografado entre o dispositivo do colaborador e a rede corporativa. Em primeiro lugar, imagine que o escritório da empresa é uma fortaleza com muros altos. A VPN Client to Site é o caminho seguro e privado que permite ao colaborador entrar nessa fortaleza a partir de qualquer lugar seja em casa, num hotel ou num aeroporto.
Além disso, todo o tráfego que passa por esse túnel fica protegido contra interceptação. Portanto, mesmo que o colaborador use uma rede Wi-Fi pública, os dados corporativos trafegam de forma segura e criptografada. Consequentemente, riscos como ataques man-in-the-middle onde alguém intercepta a comunicação ficam praticamente eliminados.
No FortiGate, a VPN Client to Site usa o protocolo SSL/TLS ou IPsec. Por exemplo, o FortiClient software gratuito da Fortinet instalado no computador do colaborador estabelece esse túnel automaticamente após a autenticação. Em seguida, o colaborador acessa pastas, sistemas internos e impressoras como se estivesse fisicamente no escritório.
Por isso, a combinação entre VPN Client to Site e autenticação LDAP é tão poderosa. Em primeiro lugar, o colaborador usa o login do Windows para acessar a VPN sem precisar memorizar uma senha extra. Além disso, quando o RH desliga um funcionário e desativa a conta no Active Directory, o acesso à VPN cessa automaticamente. Dessa forma, a segurança acompanha os processos de RH em tempo real.
Pré-requisitos antes de iniciar a configuração
Antes de configurar o LDAP e a VPN Client to Site no FortiGate, é importante garantir que o ambiente esteja preparado. Por isso, verifique cada item abaixo antes de começar.
Em primeiro lugar, você precisa de acesso administrativo ao FortiGate com permissão para criar objetos LDAP e perfis de VPN. Além disso, o servidor Active Directory deve estar acessível a partir do FortiGate verifique se não há regras de firewall bloqueando a comunicação entre os dois.
Em seguida, tenha em mãos as seguintes informações do Active Directory: endereço IP ou nome do servidor, porta de comunicação (389 para LDAP padrão ou 636 para LDAPS com criptografia), o Distinguished Name (DN) da base de busca por exemplo, DC=empresa,DC=com,DC=br e as credenciais de uma conta de serviço com permissão de leitura no diretório.
Além disso, defina quais grupos do Active Directory terão acesso à VPN. Por exemplo, você pode criar um grupo chamado GRP_VPN_ACESSO e incluir apenas os colaboradores autorizados. Dessa forma, o controle fica centralizado no Active Directory e não no FortiGate.
Portanto, com esses pré-requisitos atendidos, a configuração segue de forma muito mais fluida e sem surpresas.
Como configurar o LDAP no FortiGate passo a passo
Passo 1 — Criar o servidor LDAP no FortiGate
Em primeiro lugar, acesse o painel administrativo do FortiGate pelo navegador. Navegue até User & Authentication > LDAP Servers e clique em Create New.
No campo Name, dê um nome identificável por exemplo, LDAP_AD_EMPRESA. Em seguida, preencha o campo Server IP/Name com o endereço do seu servidor Active Directory. No campo Port, use 389 para LDAP padrão. Se o seu ambiente usa LDAPS com certificado, use 636 e ative a opção Secure Connection.
Além disso, preencha o campo Common Name Identifier com sAMAccountName esse é o atributo que o Active Directory usa para armazenar o nome de login do usuário. No campo Distinguished Name, insira o DN da sua base, como DC=empresa,DC=com,DC=br.
Em seguida, selecione o Bind Type como Regular. Isso significa que o FortiGate usará uma conta de serviço dedicada para consultar o diretório. Preencha os campos Username e Password com as credenciais dessa conta. Por fim, clique em Test Connectivity para confirmar que o FortiGate consegue se comunicar com o Active Directory. Portanto, se o teste retornar sucesso, o servidor LDAP está configurado corretamente.
Passo 2 — Criar o grupo de usuários LDAP no FortiGate
Com o servidor LDAP criado, o próximo passo é definir quais usuários terão acesso à VPN. Por isso, navegue até User & Authentication > User Groups e clique em Create New.
Dê um nome ao grupo por exemplo, GRP_VPN_FORTIGATE. Em seguida, no campo Type, selecione Firewall. Clique em Add na seção Remote Groups e selecione o servidor LDAP criado no passo anterior.
Além disso, no campo Groups, insira o DN completo do grupo do Active Directory que terá acesso à VPN. Por exemplo: CN=GRP_VPN_ACESSO,OU=Grupos,DC=empresa,DC=com,DC=br. Dessa forma, apenas os membros desse grupo específico conseguirão autenticar na VPN. Consequentemente, adicionar ou remover colaboradores do acesso remoto passa a ser uma tarefa simples no próprio Active Directory.
Passo 3 — Configurar a VPN SSL Client to Site
Agora é o momento de criar o portal de VPN. Navegue até VPN > SSL-VPN Portals e clique em Create New. Em primeiro lugar, defina o nome do portal por exemplo, PORTAL_VPN_COLABORADORES.
Ative a opção Tunnel Mode para que o FortiClient estabeleça um túnel completo. Além disso, configure o IP Pools com um range de endereços IP que o FortiGate vai atribuir aos colaboradores conectados por exemplo, 10.10.10.100 – 10.10.10.200. Certifique-se de que esse range não conflita com outros endereços da sua rede.
Em seguida, navegue até VPN > SSL-VPN Settings. No campo Listen on Interface, selecione a interface WAN do FortiGate. Defina a porta de acesso a porta padrão é 10443, mas muitas empresas mudam por segurança. Por isso, escolha uma porta acima de 10000 que não esteja em uso.
Portanto, na seção Authentication/Portal Mapping, clique em Add e selecione o grupo GRP_VPN_FORTIGATE criado anteriormente. Associe esse grupo ao portal PORTAL_VPN_COLABORADORES. Dessa forma, apenas usuários autenticados via LDAP e membros do grupo correto terão acesso ao portal.
Passo 4 — Criar a política de firewall para a VPN
A configuração da VPN só funciona completamente com uma política de firewall que autorize o tráfego. Por isso, navegue até Policy & Objects > Firewall Policy e clique em Create New.
Em primeiro lugar, configure os campos da seguinte forma: Incoming Interface como ssl.root interface virtual da VPN SSL e Outgoing Interface como a interface da rede interna, geralmente internal ou LAN. No campo Source, adicione o IP Pool configurado e o grupo GRP_VPN_FORTIGATE. Em seguida, no campo Destination, defina quais redes internas os colaboradores remotos podem acessar.
Boas práticas de segurança na configuração LDAP e VPN
Configurar tecnicamente é apenas metade do trabalho. Além disso, seguir boas práticas de segurança garante que a implementação seja sólida no longo prazo. Por isso, aplique as recomendações abaixo desde o primeiro dia.
Em primeiro lugar, use sempre LDAPS no lugar de LDAP simples. O LDAP padrão trafega credenciais sem criptografia qualquer pessoa na rede pode interceptar o usuário e a senha da conta de serviço. Portanto, implemente um certificado SSL no servidor Active Directory e configure o FortiGate para usar a porta 636.
Além disso, crie uma conta de serviço dedicada exclusivamente para a integração LDAP. Essa conta deve ter apenas permissão de leitura no diretório nada além disso. Dessa forma, mesmo que as credenciais sejam comprometidas, o atacante não consegue modificar nada no Active Directory.
Ative a autenticação multifator (MFA) para todos os usuários de VPN. O NIST classifica a MFA como controle essencial para acesso remoto. Por exemplo, o FortiGate suporta integração com FortiToken, Microsoft Authenticator e outros aplicativos TOTP. Sobretudo para contas com acesso a sistemas críticos, a MFA é inegociável.
Além disso, monitore os logs de autenticação regularmente. O FortiGate registra todas as tentativas de conexão bem-sucedidas e falhas. Portanto, picos de falhas de autenticação podem indicar ataques de força bruta em andamento. Configure alertas automáticos para esse tipo de evento.
Por fim, revise o grupo de acesso à VPN periodicamente. Consequentemente, contas de ex-colaboradores ou prestadores encerrados não permanecem ativas por descuido. Em resumo, a higiene de contas é tão importante quanto a configuração técnica.
O CERT.br recomenda que empresas brasileiras documentem todas as políticas de acesso remoto e revisem as permissões trimestralmente.
Erros comuns na configuração LDAP e como evitá-los
Mesmo administradores experientes cometem erros nessa configuração. Por isso, conhecer os problemas mais frequentes poupa horas de troubleshooting.
O erro mais comum é o DN incorreto. Em primeiro lugar, um caractere errado no Distinguished Name impede completamente a autenticação. Portanto, copie o DN diretamente de uma ferramenta como o Active Directory Users and Computers ou o ADSIEdit nunca digite manualmente.
Além disso, muitos administradores esquecem de liberar a porta LDAP no firewall entre o FortiGate e o servidor Active Directory. Consequentemente, o teste de conectividade falha sem uma mensagem de erro clara. Por isso, verifique as regras de firewall do Windows Server e do próprio FortiGate antes de iniciar a configuração.
Outro erro frequente é usar a conta de Administrador do domínio como conta de serviço LDAP. No entanto, isso representa um risco de segurança grave. Por outro lado, uma conta dedicada com permissão mínima resolve o problema sem comprometer a funcionalidade.
Por fim, não testar a configuração antes de liberar para os usuários é um erro que gera chamados desnecessários. Portanto, sempre valide o fluxo completo do FortiClient até o recurso interno antes de comunicar a disponibilidade da VPN aos colaboradores.
Como a TI Sec pode ajudar na sua implantação
Configurar LDAP e VPN Client to Site no FortiGate exige atenção a detalhes que fazem grande diferença na segurança e na experiência dos usuários. Por isso, contar com especialistas certificados Fortinet reduz riscos e acelera a implantação.
A TI Sec realiza projetos completos de VPN corporativa do levantamento de requisitos até a documentação final e treinamento da equipe. Além disso, oferecemos suporte contínuo para ambientes FortiGate, garantindo que sua infraestrutura permaneça atualizada e protegida.
Para saber como podemos ajudar sua empresa, fale com os especialistas da TI Sec. Além disso, conheça nossas soluções completas de infraestrutura e cibersegurança e veja como transformamos ambientes de TI com segurança e eficiência.
