Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

创建访问配置文件

使用“访问配置文件”页面可以配置 LDAP 服务器、RADIUS 服务器和本地身份验证服务。

要创建访问配置文件:

  1. 选择 配置>用户防火墙管理>访问配置文件

    将显示“访问配置文件”页。

  2. 单击 + 图标。

    将显示“创建访问配置文件”页面。

  3. 按照 表 1 中的准则完成配置。
  4. 单击 完成

    此时将显示“摘要”页面,提供完整配置的预览。

  5. 单击 “确定 ”完成配置,或单击 “上一步 ”进行任何修改。
表 1:访问配置文件配置参数

领域

描述

访问配置文件名称

输入由字母数字字符、冒号、句点、短划线和下划线组成的唯一字符串。最大长度为 255 个字符。

描述

输入访问配置文件的描述;最大长度为 255 个字符。

设备类型

选择设备类型为根或租户系统 (TSYS)。
分配设备

装置

从“可用”列中选择这些设备,然后将其移动到“已选择”列。

您还可以在“可用”和“已选择”列的搜索字段中搜索设备。您可以通过输入设备名称、设备 IP 地址或设备标签来搜索这些设备。
认证

当地

选择“本地”以配置本地身份验证服务。

选择要分配给用户的地址池。

地址池是一组可用于分配给用户的互联网协议 (IP) 地址,例如在具有 DHCP 的主机配置中。地址分配池支持 IPv4 地址。您可以创建独立于使用这些池的客户端应用程序的集中式 IPv4 地址池。

要创建地址池:

  1. 单击 创建地址池

    进入创建地址池页面。

  2. 输入以下详细信息:

    • 池名称 - 输入地址池的名称。

    • 网络地址 - 输入地址池使用的网络地址。

    • 主 DNS 服务器 - 输入主 DNS IP 地址。

    • 辅助 DNS 服务器 - 输入辅助 DNS IP 地址。

    • 主 WINS 服务器 - 输入主 Windows IP 地址。

    • 辅助 WINS 服务器 - 输入辅助 Windows IP 地址。

    单击 + 图标以配置地址分配池中使用的 IPv4 地址的命名范围。输入地址范围的下限和上限。

要创建新的本地身份验证用户,请执行以下操作:

  1. 单击 +

    此时将显示“创建本地身份验证用户”页。

  2. 输入以下详细信息:

    • 用户名 - 输入请求访问权限的用户的用户名。

    • 密码 - 输入用户密码。

    • XAUTH IP 地址 — 输入客户端的 IPv4 地址。

    • 组 - 输入组名称以将多个用户帐户存储在一起。

  3. 单击 “确定 ”保存更改。

要进行编辑,请选择本地身份验证用户配置,然后单击铅笔图标。

要删除,请选择本地身份验证用户配置,然后单击删除图标。

半径

选择 RADIUS 以配置 RADIUS 身份验证服务。

要创建新的 RADIUS 服务器,请执行以下操作:

  1. 单击 +

    此时将显示“创建 RADIUS 服务器”页面。

  2. 输入以下详细信息:

    • 地址 — 输入 RADIUS 服务器的 IPv4 地址。

    • 密钥 - 输入密钥密码以访问 RADIUS 服务器。

    • 端口 — 输入要联系 RADIUS 服务器的端口号。

      范围为 1 到 65535。默认值为 1812。

    • 重试 - 输入设备可以尝试联系 RADIUS 服务器的重试次数。

      范围为 1 到 100 秒。

    • 路由实例 - 输入路由实例名称。

    • 源地址 — 输入在设备某个接口上配置的源 IP 地址。

    • 超时 - 输入本地设备等待接收来自 RADIUS 身份验证服务器的响应的时间量。

      范围为 1 到 1000 秒。

  3. 单击 “确定 ”保存更改。

要进行编辑,请选择 RADIUS 服务器配置,然后单击铅笔图标。

要删除,请选择 RADIUS 服务器配置,然后单击删除图标。

Ldap

选择 LDAP 以配置 LDAP 身份验证服务。

要创建新的 LDAP 服务器,请执行以下操作:

  1. 单击 +

    此时将显示“创建 LDAP 服务器”页面。

  2. 输入以下详细信息:

    • 地址 — 输入 LDAP 服务器的 IPv4 地址。

    • 端口 - 输入要联系 LDAP 服务器的端口号。

      范围为 1 到 65535。默认值为 389。

    • 重试 - 输入设备可以尝试联系 LDAP 服务器的重试次数。

      范围为 1 到 10 秒。

    • 路由实例 - 输入路由实例名称。

    • 源地址 — 输入在设备某个接口上配置的源 IP 地址。

    • 超时 - 输入本地设备等待接收来自 LDAP 身份验证服务器的响应的时间量。

      范围为 3 到 90。

  3. 单击 “确定 ”保存更改。

要进行编辑,请选择 LDAP 服务器配置,然后单击铅笔图标。

要删除,请选择 LDAP 服务器配置,然后单击删除图标。
LDAP 选项

基本可分辨名称

指定定义用户的基本可分辨名称。

恢复间隔

指定在使用备份服务器时联系主服务器之前经过的时间量。

LDAP 选项类型

选择组合或搜索。

组合指定使用公用名标识符、用户名和基本可分辨名称组合用户的 LDAP 可分辨名称 (DN)。

搜索指定使用搜索来获取用户的 LDAP 可分辨名称 (DN)。搜索基于搜索过滤器和用户在身份验证期间输入的部件执行。

Authentication Order

订单 1

配置用户尝试登录时尝试不同用户身份验证方法的顺序。对于每次登录尝试,身份验证方法从第一次开始,直到密码匹配。

该方法可以是以下一项或多项:

  • NONE - 不对指定用户进行身份验证。

  • 本地 - 使用本地身份验证服务。

  • LDAP — SRX 系列设备使用此协议获取实施集成用户防火墙功能所需的用户和组信息。

  • RADIUS - 使用 RADIUS 身份验证服务。

    如果 RADIUS 服务器无法响应或返回拒绝响应,请尝试密码身份验证,因为它是按身份验证顺序显式配置的。

订单 2

如果身份验证顺序选项中包含的身份验证方法不可用,或者身份验证可用但返回拒绝响应,请配置下一个身份验证方法。

相关文档