访问配置文件概述

访问配置文件启用网络上的访问配置 — 这包括身份验证配置和记帐配置。Security Director 支持远程身份验证拨入用户服务 （RADIUS）、轻型目录访问协议 （LDAP） 和本地身份验证服务作为身份验证方法。身份验证可防止未经授权的设备和用户访问您的网络。会计服务器收集和发送用于计费、审计和报告的信息。

SRX 系列设备使用 LDAP 服务获取实施集成用户防火墙功能所需的用户和组信息。SRX 系列设备充当与 LDAP 服务器通信的 LDAP 客户端。在常见的实现方案中，域控制器充当 LDAP 服务器。默认情况下，SRX 系列设备中的 LDAP 模块查询域控制器中的活动目录。

SRX 系列设备从 LDAP 服务器下载用户和组列表。设备还会查询 LDAP 服务器以获取用户和组更新。SRX 系列设备下载第一级用户到组的映射关系，然后计算完整的用户到组映射。

默认情况下，LDAP 身份验证方法使用简单身份验证。客户端的用户名和密码以明文形式发送到 LDAP 服务器。请记住，密码是清楚的，可以从网络中读取。

为避免暴露密码，您可以在加密通道（即安全套接字层 （SSL））中使用简单身份验证，前提是 LDAP 服务器支持 LDAP over SSL。启用 SSL 后，将从 LDAP 服务器发送到 SRX 系列设备的数据将被加密。

LDAP 服务器的用户名、密码、IP 地址和端口都是可选的，但可以对其进行配置。

• 如果未配置用户名和密码，系统将使用配置的域控制器的用户名和密码。

• 如果未配置 LDAP 服务器的 IP 地址，系统将使用其中一个已配置的活动目录域控制器的地址。

• 如果未配置端口，系统将使用端口 389 作为明文，或端口 636 作为加密文本。

RADIUS 是一种网络协议，它为连接和使用网络服务的计算机提供集中身份验证、授权和记帐 （AAA） 管理。默认情况下，RADIUS 服务器用于记帐和身份验证。从 Security Director 中，您可以创建和管理配置 RADIUS 服务器设置的 RADIUS 配置文件。

通过本地身份验证，您可以为允许登录控制器或交换机的每个用户配置密码。