Resolvendo o erro Strong(er) authentication required no FortiGate

Publicado por Luiz Carlos Gabriel Pacheco Castello Branco em

Compartilhe que você está se especializando

Vamos falar aqui sobre o erro que você pode encontrar em firewall Fortigate (no menu Users & Authentication , indo em LDAP Servers e testando uma conexão) à um controlador de domínio com Windows Server 2025. Esse erro não ocorre apenas no Fortigate, mas em vários sistemas por causa da segurança imposta ao LDAP no Windows Server 2025. Por isso, a solução de contorno infomada aqui pode resolver outras autenticações que você tenha (como do PostgreSQL) em relação ao Active Directory em um servidor Windows server 2025.

Falamos em solução de contorno, pois como melhor prática você pode instalar um certificado e configurar uma conexão segura LDAPS, o que aprimora a segurança de seu ambiente, ao invez de abaixar o nível de segurança para resolver esse problema.

Considerando que o foco aqui é o problema e sua solução, não iremos detalhar tanto algumas etapas (como explicar o que é uma GPO, ou qual ferramenta para sua edição).

Aplicando a solução de contorno

Edite sua GPO Domain Controller Policy, navegue em Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options e dentro dela altere os seguintes itens:

PolíticaConfiguração
Domain controller: LDAP server channel binding token requirementsHabilite e deixe como When supported
Domain controller: LDAP server signing requirementsHabilite e deixe como None
Domain controller: LDAP server signing requirements EnforcementHabilite e deixe como Disable
Network security: LDAP client encryption requirementsHabilite e deixe como Negotiate sealing
Network security: LDAP client signing requirementsHabilite e deixe como Negotiate sealing

Feche essa GPO, replique seu AD, vá no DC que está tentando a conexão, abra o CMD, execute um gpupdate /force e tente novamente a conexão.

Fontes/Referências

https://youtu.be/dO8OL30rvco

Mais Informações

Esperamos ter te ajudado e estaremos sempre a disposição para mais informações.

Se você tem interesse em algum assunto específico, tem alguma dúvida, precisa de ajuda, ou quer sugerir um post, entre em contato conosco pelo e-mail equipe@nvlan.com.br.

NVLAN - Consultoria
Categorias: Microsoft Active DirectorySoluções OpenSource
Tags:

Posts relacionados

Microsoft Active Directory

Gerar organograma Web do Active Directory com PowerShell

Compartilhe que você está se especializandoEu sempre precisei gerar organograma da empresa, mas cada vez mais o método que eu utilizava foi se tornando mais difícil (ou raro), pois dependia de uma licença funcional do Leia mais

Governança Microsoft Active Directory POSTs

Definir licenças Microsoft 365 automaticamente usando grupos

Compartilhe que você está se especializandoA administração de licenças no 365 é uma tarefa repetitiva (na maioria das vezes, feita manualmente) e propensa a erros. Felizmente é possível definir licenças do Microsoft 365 automaticamente usando Leia mais

Microsoft Active Directory

Criar contas em um Domínio de Teste no Active Directory

Compartilhe que você está se especializandoVocê sabe o que é mokar dados na infraestrutura? Se você atua com infraestrutura de TI, com certeza já precisou testar funcionalidades no seu Active Directory (AD) e, para isso, Leia mais