访问配置文件概述

访问配置文件支持网络上的访问配置 — 这包括身份验证配置和计费配置。Security Director 支持远程认证拨号用户服务 （RADIUS）、轻量目录访问协议 （LDAP） 和本地身份验证服务作为身份验证方法。身份验证可防止未经授权的设备和用户访问您的网络。计费服务器收集和发送用于计费、审计和报告的信息。

SRX 系列设备使用 LDAP 服务来获取实施集成用户防火墙功能所需的用户和组信息。SRX 系列设备充当与 LDAP 服务器通信的 LDAP 客户端。在常见的实现方案中，域控制器充当 LDAP 服务器。默认情况下，SRX 系列设备中的 LDAP 模块会查询域控制器中的 Active Directory。

SRX 系列设备从 LDAP 服务器下载用户和组列表。设备还会查询 LDAP 服务器以获取用户和组更新。SRX 系列设备会下载一级用户到组的映射关系，然后计算完整的用户到组的映射。

默认情况下，LDAP 身份验证方法使用简单身份验证。客户端的用户名和密码以纯文本形式发送至 LDAP 服务器。请记住，密码很清楚，可以从网络中读取。

为避免暴露密码，您可以在加密通道（即安全套接字层 （SSL））中使用简单的身份验证，只要 LDAP 服务器支持 LDAP over SSL。启用 SSL 后，从 LDAP 服务器发送到 SRX 系列设备的数据将被加密。

LDAP 服务器的用户名、密码、IP 地址和端口都是可选的，但可以进行配置。

• 如果未配置用户名和密码，系统将使用配置的域控制器的用户名和密码。

• 如果未配置 LDAP 服务器的 IP 地址，则系统将使用配置的某个 Active Directory 域控制器的地址。

• 如果未配置端口，系统将端口 389 用于纯文本，或将端口 636 用于加密文本。

RADIUS 是一种网络协议，可为计算机连接和使用网络服务提供集中式身份验证、授权和计费 （AAA） 管理。默认情况下，RADIUS 服务器用于计费和身份验证。在 Security Director 中，您可以创建和管理用于配置 RADIUS 服务器设置的 RADIUS 配置文件。

通过本地身份验证，您可以为每个允许用户配置一个密码，以便登录到控制器或交换机。