Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

添加访问配置文件

您在这里: 安全服务 > 防火墙身份验证 > 访问配置文件

要添加访问配置文件:

 1. 单击“访问配置文件”页右上角的 +

  此时将显示“创建访问配置文件”页面。

 2. 根据 表 1 中提供的指南完成配置。
 3. 单击 “确定 ”保存更改。如果要放弃更改,请单击 “取消”。
表 1:访问配置文件页面上的字段

领域

描述

名字

输入访问配置文件的名称。名称必须是字母数字字符、冒号、句点、短划线和下划线的唯一字符串。最大长度为 64 个字符。

地址分配

从列表中选择可供不同客户端应用程序使用的地址池。

单击 创建地址池 以添加新地址池。有关创建新地址池的详细信息,请参阅 添加地址池

注意:

如果在地址分配中选择了地址池,则在创建允许的组时无需为 LDAP 分配地址池。

注意:

对于 junos-ike 软件包安装的平台,地址分配支持 瞻博网络安全连接 > 本地网关 中的 IPv6 地址,> 用户身份验证 > 创建访问配置文件 > 创建地址池

认证

当地

选择 “本地 ”以配置本地身份验证服务。

要创建新的本地身份验证用户,请执行以下操作:

 1. 单击 +

  此时将显示“创建本地身份验证用户”页。

 2. 输入以下详细信息:

  • 用户名 - 输入请求访问权限的用户的用户名。

  • 密码 - 输入用户密码。

  • XAUTH IP 地址 — 输入客户端的 IPv4 地址。

  • - 输入组名称以将多个用户帐户存储在一起。

 3. 单击 “确定 ”保存更改。

要进行编辑,请选择本地身份验证用户配置,然后单击铅笔图标。

要删除,请选择本地身份验证用户配置,然后单击删除图标。

半径

选择 RADIUS 以配置 RADIUS 身份验证服务。

要创建新的 RADIUS 服务器,请执行以下操作:

 1. 单击 +

  此时将显示“创建 RADIUS 服务器”页面。

 2. 输入以下详细信息:

  • 地址 - 输入 RADIUS 服务器的 IPv4 或 IPv6 地址。

  • 密钥 - 输入密钥密码以访问 RADIUS 服务器。

  • 端口 — 输入要联系 RADIUS 服务器的端口号。

   范围为 1 到 65535。默认值为 1812。

  • 源虚拟路由器 — 从列表中选择源虚拟路由器。

  • 源接口 — 从列表中选择源接口(配置了 IP)。接口的 IP 地址配置为源地址。

  • 超时 - 输入本地设备等待接收来自 RADIUS 身份验证服务器的响应的时间量。

   范围为 1 到 1000 秒。默认值为 3。

  • 重试 - 输入设备可以尝试联系 RADIUS 服务器的重试次数。

   范围为 1 到 100 秒。默认值为 3。

 3. 单击 “确定 ”保存更改。

要进行编辑,请选择 RADIUS 服务器配置,然后单击铅笔图标。

要删除,请选择 RADIUS 服务器配置,然后单击删除图标。

Ldap

选择 LDAP 以配置 LDAP 身份验证服务。

要创建新的 LDAP 服务器,请执行以下操作:

 1. 单击 +

  此时将显示“创建 LDAP 服务器”页面。

 2. 输入以下详细信息:

  • 地址 - 输入 LDAP 服务器的 IPv4 或 IPv6 地址。

  • 端口 - 输入要联系 LDAP 服务器的端口号。

   范围为 1 到 65535。默认值为 389。

  • 源虚拟路由器 — 从列表中选择源虚拟路由器。

  • 源接口 — 从列表中选择源接口(配置了 IP)。接口的 IP 地址配置为源地址。

  • 超时 - 输入本地设备等待接收来自 LDAP 身份验证服务器的响应的时间量。

   范围为 3 到 90。默认值为 5。

  • 重试 - 输入设备可以尝试联系 LDAP 服务器的重试次数。

   范围为 1 到 10 秒。

   默认值为 5。
 3. 要通过 TLS/SSL 配置 LDAP,请输入以下内容:

  1. 启动 TLS — 启用此选项可通过 StartTLS 配置 LDAP。

  2. 对等名称— — 以FQDN格式输入对等主机名。

  3. 超时— — 输入等待安全握手启动和完成的秒数。

   范围为 3 到 90 秒。默认值为 5。

  4. 最小版本 — 选择连接中启用的 TLS 协议的最低版本,以便与 LDAP 服务器协商 TLS 连接。默认值为 v1.2。
  5. 认证检查— — 启用认证检查以验证LDAP服务器的证书。

 4. 单击 “确定 ”保存更改。

要进行编辑,请选择 LDAP 服务器配置,然后单击铅笔图标。

要删除,请选择 LDAP 服务器配置,然后单击删除图标。

LDAP 选项

基本可分辨名称

输入定义用户基本属性的基本可分辨名称。

例如,在基本可分辨名称 o=juniper 中,c=us,其中 c 代表国家/地区,o 代表组织。

恢复间隔

指定在使用备份服务器时联系主服务器之前经过的时间量。

使用顶部/底部箭头提供还原间隔。

范围为 60 到 4294967295。

LDAP 选项类型

从列表中选择一个 LDAP 选项:

 • — 无用户 LDAP 可分辨名称 (DN)。

 • 组合 - 指示用户的 LDAP DN 是通过使用公用名标识符、用户名和基本可分辨名称组装而成的。

 • 搜索 - 指示搜索用于获取用户的 LDAP DN。搜索基于搜索筛选器和用户在身份验证期间键入的搜索文本执行。

通用名

输入在用户专有名称组装过程中用作用户名前缀的公用名标识符。

当您选择 组合 LDAP 选项类型时,此选项可用。

搜索过滤器

输入过滤器的名称以查找用户的 LDAP 可分辨名称。

当您选择 搜索 LDAP 选项类型时,此选项可用。

管理员搜索

启用此选项可执行 LDAP 管理员搜索。默认情况下,搜索是匿名搜索。

当您选择 搜索 LDAP 选项类型时,此选项可用。

可分辨名称

输入管理用户的可分辨名称。可分辨名称在绑定中用于执行 LDAP 搜索。

当您选择已启用 管理员搜索 时,此选项可用。

秘密

输入管理用户的纯文本密码。

当您选择已启用 管理员搜索 时,此选项可用。

允许的组

注意:

从 Junos OS 23.2R1 版开始,J-Web 在“访问配置文件”页面中支持“允许的组”选项。SRX300 系列防火墙和SRX550HM防火墙不支持此选项。

配置允许登录的组。用户最多可以配置 32 个组,组列表限制为 255 个字节。

从 LDAP 服务器接收成员资格属性的顺序决定了用户如何与已配置(允许)组相关联。要匹配用户,将使用从 LDAP 服务器接收的列表中与任何已配置组匹配的第一个组。

属于多个组的任何用户都可以从任一组获取资源,具体取决于 LDAP 服务器的响应顺序。为了确保确定地为用户分配了预期的资源,建议该用户仅属于一个组。

要配置允许的组,请执行以下操作:

 1. 点击允许的组网格上方的 + 可用。

 2. 输入组名称。

 3. 从列表中选择一个地址池。如果要创建新的地址池,请单击 创建地址池。请参见 添加地址池

  注意:

  如果已在“地址分配”选项中选择地址池,则此步骤是可选的。

 4. 单击勾号图标以保存更改。如果要放弃更改,请单击“ X ”。

您还可以分别使用编辑图标和删除图标编辑和删除允许的组。

身份验证顺序

订单 1

选择以下一种或多种身份验证方法:

 • NONE - 不对指定用户进行身份验证。

 • 本地 - 使用本地身份验证服务。

 • LDAP - 使用 LDAP。SRX 系列防火墙使用此协议获取实施集成用户防火墙功能所需的用户和组信息。

 • RADIUS - 使用 RADIUS 身份验证服务。

  如果 RADIUS 服务器无法响应或返回拒绝响应,请尝试本地身份验证,因为它是按身份验证顺序显式配置的。

订单 2

从列表中选择身份验证方法。