Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

关于 Active Directory 页面

您在这里: 安全服务 > 防火墙身份验证 > Active Directory

您可以配置活动目录。

表 1 介绍了“活动目录”页面上的字段。

表 1:活动目录页面上的字段

领域

描述

基本信息
一般

无按需探头

启用域 PC 的手动按需探测,作为 SRX 系列防火墙检索地址到用户映射信息的替代方法。

超时

身份验证条目超时

将超时设置为 0 以避免在超时后从身份验证表中删除用户的条目。

注意:

当用户不再处于活动状态时,将为该用户在 Active Directory 身份验证表中的条目启动计时器。时间到了,用户的条目将从表中删除。只要存在与该条目关联的会话,表中的条目就会保持活动状态。

默认身份验证条目超时为 30 分钟。从 Junos OS 19.2R1 版开始,默认值为 60 分钟。

要禁用超时,请将间隔设置为零。范围为 10 到 1440 分钟。

WMI 超时

输入域 PC 通过 Windows 管理规范 (WMI) 或分布式组件对象模块 (DCOM) 响应 SRX 系列防火墙查询的秒数。

如果在 wmi-timeoutinterval 内未收到来自域电脑的响应,则探测将失败,系统将创建无效的身份验证条目或将现有身份验证条目更新为无效。如果探测的 IP 地址已存在身份验证表条目,并且在 wmi 超时间隔内未收到来自域 PC 的响应,则探测将失败,并且该条目将从表中删除。

范围为 3 到 120 秒。

无效的身份验证条目超时

输入一个值。范围为 10 到 1440 分钟。当用户不再处于活动状态时,将为该用户在 Active Directory 身份验证表中的条目启动计时器。时间到了,用户的条目将从表中删除。

如果未配置此值,则来自 Active Directory 的所有无效身份验证条目将使用默认值 30 分钟。

范围为 10 到 1440 分钟。

防火墙身份验证强制超时

输入一个值。范围为 10 到 1440 分钟。这是防火墙身份验证回退时间。将超时设置为 0 以避免在超时后从身份验证表中删除用户的条目。

滤波器

包括

启用此选项可包含“可用”列中的 IP 地址。

单击 + 创建新的 IP 地址,并将其添加为“包括”或“从监视中排除”。

单击“删除”图标以删除新的 IP 地址,并将其添加为“包括”或“从监控中排除”。

排除

启用此选项可从“可用”列中排除 IP 地址。

单击 + 创建新的 IP 地址,并将其添加为“包括”或“从监视中排除”。

单击“删除”图标以删除新的 IP 地址,并将其添加为“包括”或“从监控中排除”。

域设置

测试

单击 “测试 ”以检查域连接状态。

测试:状态页面出现并显示状态。

+

单击 + 以添加域。

此时将显示“添加域”页面。

注意:
 • 从 Junos OS 19.2R1 版开始,对于 SRX4200、SRX1500、SRX550M 和 vSRX 虚拟防火墙设备,以及 SRX5000 和 SRX3000 系列设备,您最多可以在两个域中配置集成用户防火墙。对于其他 SRX 系列防火墙,您只能创建一个域。

  可以选择铅笔图标来编辑域,也可以选择删除图标来删除域。

一般

域名

输入域的名称。

域名的范围为 1 到 64 个字符。

用户

输入活动目录帐户密码的密码。

用户名的范围为 1 到 64 个字符。示例:管理员

密码

输入 Active Directory 帐户名称的用户名。

密码的范围为 1 到 128 个字符。示例:A$BC123

域控制器

域控制器

单击 + 添加域控制器设置。

 • 域控制器名称 - 输入域控制器名称。名称的范围为 1 到 64 个字符。

  您最多可以配置 10 个域控制器。

 • IP 地址 - 输入域控制器的 IP 地址。

用户组映射 (LDAP)

用户组映射 (LDAP)

单击 +

 • IP 地址 - 输入 LDAP 服务器的 IP 地址。如果未指定地址,系统将使用已配置的活动目录域控制器之一。

 • 端口 - 输入 LDAP 服务器的端口号。如果未指定端口号,系统将使用端口 389 作为明文,或使用端口 636 作为加密文本。

  默认值为端口 443。

碱基区分名称

输入 LDAP 基本可分辨名称 (DN)。

示例:DC=示例,DC=net

用户

输入 LDAP 帐户的用户名。如果未指定用户名,系统将使用配置的域控制器的用户名。

密码

输入帐户的密码。如果未指定密码,系统将使用配置的域控制器的密码。

使用 SSL

启用安全套接字层 (SSL) 以确保与 LDAP 服务器的安全传输。默认禁用,则以明文形式发送密码。

身份验证算法

启用此选项可指定 SRX 系列防火墙与 LDAP 服务器通信时使用的算法。默认情况下,选择简单以配置简单(明文)身份验证模式。

IP 用户映射

发现方法 (WMI)

启用发现 IP 地址到用户映射的方法。

WMI - Windows Management Instrumentation (WMI) 是用于访问域控制器的发现方法。应仅为内部主机或受信任主机启用此选项。

事件日志扫描间隔

输入 SRX 系列防火墙扫描域控制器上的事件日志的扫描间隔。范围为 5 到 60 秒。

默认值为 60 秒。

初始事件日志时间跨度

输入 SRX 系列防火墙最初将扫描的域控制器上最早事件日志的时间。此扫描仅适用于初始部署。WMIC 和用户标识开始工作后,SRX 系列防火墙仅扫描最新的事件日志。

范围为 1 到 168 小时。默认值为 1 小时。

版本历史记录表
释放
描述
19.2R1
从 Junos OS 19.2R1 版开始,默认值为 60 分钟。
19.2R1
从 Junos OS 19.2R1 版开始,对于 SRX4200、SRX1500、SRX550M 和 vSRX 虚拟防火墙设备,以及 SRX5000 和 SRX3000 系列设备,您最多可以在两个域中配置集成用户防火墙。对于其他 SRX 系列防火墙,您只能创建一个域。