Avis important : |
Windows Server 2025 introduit des politiques de sécurité plus strictes, y compris l'utilisation obligatoire de canaux sécurisés pour les requêtes LDAP. Cela affecte l'intégration standard des pare-feu Zyxel avec Active Directory, en particulier lors de l'utilisation de l'authentification des utilisateurs pour des services tels que le VPN IKEv2 ou le contrôle des stratégies.
Produits pris en charge :
- Zyxel Firewalls (ZLD 5.40 et supérieur, uOS 1.32 et supérieur)
- Windows Server 2025 (niveau de forêt 2025)
Zyxel Firewall peut être correctement intégré à Windows Server 2025 via un canal LDAPS sécurisé (port 636), ce qui est conforme aux exigences de sécurité de Microsoft et garantit une authentification stable. À partir de cette version de Windows Server, toutes les requêtes LDAP doivent être effectuées via LDAPS. Le guide suivant explique comment connecter en toute sécurité les Firewalls Zyxel à Active Directory à l'aide de certificats SSL.
Cet article se concentre sur la configuration de l'intégration LDAPS entre Zyxel Firewall et Windows Server 2025 Active Directory.
Pour plus de détails sur les problèmes de compatibilité d'authentification, veuillez vous référer à l'article connexe dont le lien figure au bas de l'article.
Pour plus d'informations sur les problèmes de compatibilité des protocoles d'authentification avec Windows Server 2025 (tels que les défis MS-CHAPv2 et NTLM) lors de l'utilisation de Zyxel Firewalls, veuillez consulter :
👉 Pare-feu Zyxel - Compatibilité d'authentification avec Windows Server 2025.
Installer les services de certificats Active Directory
- Ouvrez le Gestionnaire de serveur → Ajouter des rôles et des fonctionnalités.
- Installez le rôle Services de certificats Active Directory.
- Pour des instructions détaillées sur l'installation et la configuration de l'autorité de certification sur Windows Server 2022/2025, veuillez vous référer à la documentation officielle de Microsoft. Guide Microsoft
- Procédez avec les options par défaut et terminez l'installation.
- Redémarrez le serveur après l'installation.
Configurer l'autorité de certification
-
Sélectionnez les services de rôle à configurer :
✅ Autorité de certification
- Choisissez Enterprise CA.
- Sélectionnez Root CA.
- Créez une nouvelle clé privée (option par défaut).
- Acceptez les paramètres cryptographiques par défaut (RSA 2048 ou supérieur).
- Spécifiez un nom commun (par exemple,
Zyxel-InternalCA). - Acceptez la période de validité par défaut ou personnalisez-la selon vos besoins.
- Confirmez et terminez la configuration.
- Redémarrer le serveur.
Vérifier l'émission du certificat SSL
- Ouvrez Autorité de certification dans le menu Démarrer.
- Développez l'arborescence et allez à Issued Certificates (Certificats émis).
- Assurez-vous qu'un certificat pour le contrôleur de domaine a été automatiquement émis.
Facultatif : Vérifier via PowerShell :
Get-ChildItem -Path Cert:\LocalMachine\My
Configurer le pare-feu Zyxel pour utiliser LDAPS (Port 636)
|
Accédez à l'interface web du pare-feu Zyxel. Naviguez vers Objet > Serveur AAA ou Authentification > LDAP. Créez une nouvelle entrée LDAP :
Importez le certificat de l'autorité de certification racine dans la liste des certificats de confiance du pare-feu (Objet > Certificat > Autorité de certification de confiance). |
Tester l'authentification
- Utilisez l'outil Test d'authentification dans l'interface graphique du pare-feu.
- Confirmez la réussite de la communication par LDAPS (636).
Facultatif : Intégration VPN IKEv2
Si vous utilisez le VPN IKEv2 :
- Allez dans VPN > IKEv2 Gateway/Auth Settings (Paramètres de la passerelle/de l'authentification IKEv2)
- Sélectionnez le nouvel objet d'authentification LDAP/SSL comme source d'utilisateur.
- Testez l'authentification à partir d'un client VPN.
Commentaires
0 commentaireVous devez vous connecter pour laisser un commentaire.