Informationen zur Active Directory-Seite

Sie sind hier: Sicherheitsservices > Firewall-Authentifizierung > Active Directory.

Sie können Active Directory konfigurieren.

Tabelle 1 beschreibt die Felder auf der Active Directory-Seite.

Tabelle 1: Felder auf der Active Directory-Seite
Feld	Beschreibung
Allgemeine Informationen
Allgemeine
Keine On-Demand-Sond	Aktivieren Sie die manuelle On-Demand-Sondierung eines Domänen-PCs als alternative Methode für das Gerät der SRX-Serie zum Abrufen von Adress-zu-Benutzer-Zuordnungsinformationen.
Timeout
Timeout für Authentifizierung	Legen Sie den Timeout auf 0 fest, um zu vermeiden, dass der Benutzereintrag nach dem Timeout aus der Authentifizierungstabelle entfernt wird. Hinweis: Wenn ein Benutzer nicht mehr aktiv ist, wird ein Timer für den Eintrag dieses Benutzers in der Active Directory-Authentifizierungstabelle gestartet. Wenn die Zeit reif ist, wird der Eintrag des Benutzers aus der Tabelle entfernt. Einträge in der Tabelle bleiben aktiv, solange dem Eintrag Sitzungen zugeordnet sind. Das Standard-Timeout für den Authentifizierungseintrag beträgt 30 Minuten. Ab Junos OS Version 19.2R1 beträgt der Standardwert 60 Minuten. Um timeout zu deaktivieren, legen Sie das Intervall auf Null fest. Der Bereich beträgt 10 bis 1440 Minuten.
WMI-Timeout	Geben Sie die Anzahl der Sekunden ein, die der Domänen-PC hat, um über WMI (Windows Management Instrumentation) oder DCOM (Distributed Component Object Module) auf die Abfrage des Geräts der SRX-Serie zu reagieren. Wenn innerhalb des wmi-timeout-Intervals keine Antwort vom Domänen-PC empfangen wird, schlägt die Probe fehl, und das System erstellt entweder einen ungültigen Authentifizierungseintrag oder aktualisiert den vorhandenen Authentifizierungseintrag als ungültig. Wenn für die untersuchte IP-Adresse bereits ein Authentifizierungstabelleneintrag vorhanden ist und innerhalb des Wmi-Timeout-Intervalls keine Antwort vom Domänen-PC empfangen wird, schlägt die Prüfung fehl und dieser Eintrag wird aus der Tabelle gelöscht. Die Reichweite beträgt 3 bis 120 Sekunden.
Timeout für ungültige Authentifizierungseingabe	Geben Sie einen Wert ein. Der Bereich beträgt 10 bis 1440 Minuten. Wenn ein Benutzer nicht mehr aktiv ist, wird ein Timer für den Eintrag dieses Benutzers in der Active Directory-Authentifizierungstabelle gestartet. Wenn die Zeit reif ist, wird der Eintrag des Benutzers aus der Tabelle entfernt. Wenn dieser Wert nicht konfiguriert ist, verwenden alle ungültigen Authentifizierungseinträge aus Active Directory den Standardwert als 30 Minuten. Der Bereich beträgt 10 bis 1440 Minuten.
Erzwungene Timeouts durch Firewall-Authentifizierung	Geben Sie einen Wert ein. Der Bereich beträgt 10 bis 1440 Minuten. Dies ist die Fallback-Zeit für die Firewall-Authentifizierung. Legen Sie den Timeout auf 0 fest, um zu vermeiden, dass der Benutzereintrag nach dem Timeout aus der Authentifizierungstabelle entfernt wird.
Filter
Einschließen	Aktivieren Sie die Aufnahme von IP-Adressen aus der Spalte Verfügbar. Klicken Sie auf das Symbol "Hinzufügen" (+), um eine neue IP-Adresse zu erstellen, und fügen Sie sie als "Einschließen" oder "Von der Überwachung ausschließen" hinzu. Klicken Sie auf das Symbol "Löschen", um eine neue IP-Adresse zu löschen, und fügen Sie sie als Ein- oder Ausschließer von der Überwachung hinzu.
Ausschließen	Aktivieren Sie den Ausschluss von IP-Adressen aus der Spalte Verfügbar. Klicken Sie auf das Symbol "Hinzufügen" (+), um eine neue IP-Adresse zu erstellen, und fügen Sie sie als "Einschließen" oder "Von der Überwachung ausschließen" hinzu. Klicken Sie auf das Symbol "Löschen", um eine neue IP-Adresse zu löschen, und fügen Sie sie als Ein- oder Ausschließer von der Überwachung hinzu.
Domäneneinstellungen
Test	Klicken Sie auf Testen , um den Domänenverbindungsstatus zu überprüfen. test:Statusseite wird angezeigt und zeigt den Status an.
+	Klicken Sie auf + , um eine Domäne hinzuzufügen. Die Seite Domäne hinzufügen wird angezeigt. Hinweis: Ab Junos OS Version 19.2R1 können Sie für SRX4200-, SRX1500-, SRX550M- und vSRX-Geräte sowie für Geräte der SRX5000- und SRX3000-Reihe die integrierte Benutzer-Firewall in maximal zwei Domänen konfigurieren. Für die anderen Geräte der SRX-Serie können Sie nur eine Domäne erstellen. Sie können das Bleistiftsymbol auswählen, um die Domäne zu bearbeiten, oder das Symbol löschen, um die Domäne zu löschen.
Allgemeine
Domänennamen	Geben Sie den Namen der Domäne ein. Der Bereich für den Domänennamen beträgt 1 bis 64 Zeichen.
Nutzername	Geben Sie das Kennwort für das Active Directory-Konto ein. Der Bereich für den Benutzernamen beträgt 1 bis 64 Zeichen. Beispiel: admin
Passwort	Geben Sie den Benutzernamen für den Active Directory-Kontonamen ein. Der Bereich für das Kennwort beträgt 1 bis 128 Zeichen. Beispiel: A$BC123
Domänencontroller
Domänencontroller	Klicken Sie auf das Symbol hinzufügen (+), um Domänencontrollereinstellungen hinzuzufügen. Domänencontrollername: Geben Sie den Namen des Domänencontrollers ein. Der Name kann einen Bereich von 1 bis 64 Zeichen umfassen. Sie können bis zu maximal 10 Domänencontroller konfigurieren. IP-Adresse: Geben Sie die IP-Adresse des Domänencontrollers ein.
Benutzergruppenzuordnung (LDAP)
Benutzergruppenzuordnung (LDAP)	Klicken Sie auf das Symbol "Hinzufügen" (+): IP-Adresse: Geben Sie die IP-Adresse des LDAP-Servers ein. Wenn keine Adresse angegeben wird, verwendet das System einen der konfigurierten Active Directory-Domänencontroller. Port: Geben Sie die Portnummer des LDAP-Servers ein. Wenn keine Portnummer angegeben wird, verwendet das System Port 389 für Klartext oder Port 636 für verschlüsselten Text. Der Standardwert ist Port 443.
Base Distinguish Name	Geben Sie den LDAP Base Distinguished Name (DN) ein. Beispiel: DC=example,DC=net
Nutzername	Geben Sie den Benutzernamen des LDAP-Kontos ein. Wenn kein Benutzername angegeben wird, verwendet das System den Benutzernamen des konfigurierten Domänencontrollers.
Passwort	Geben Sie das Kennwort für das Konto ein. Wenn kein Kennwort angegeben wird, verwendet das System das Kennwort des konfigurierten Domänencontrollers.
SSL verwenden	Aktivieren Sie Secure Sockets Layer (SSL), um eine sichere Übertragung mit dem LDAP-Server zu gewährleisten. Standardmäßig deaktiviert, wird das Kennwort dann im Klartext gesendet.
Authentifizierungsalgorithmus	Aktivieren Sie diese Option, um den verwendeten Algorithmus anzugeben, während das Gerät der SRX-Serie mit dem LDAP-Server kommuniziert. Standardmäßig ist "einfach" ausgewählt, um den einfachen (Plaintext)-Authentifizierungsmodus zu konfigurieren.
IP-Benutzerzuordnung
Discovery-Methode (WMI)	Aktivieren Sie die Methode zur Erkennung von IP-Adressen-zu-Benutzer-Zuordnungen. WMI: Windows Management Instrumentation (WMI) ist die Erkennungsmethode, die für den Zugriff auf den Domänencontroller verwendet wird. Diese Option sollte nur für interne Hosts oder vertrauenswürdige Hosts aktiviert sein.
Ereignisprotokoll-Scan-Intervall	Geben Sie das Scanintervall ein, in dem das Gerät der SRX-Serie das Ereignisprotokoll auf dem Domänencontroller scannt. Die Reichweite beträgt 5 bis 60 Sekunden. Der Standardwert ist 60 Sekunden.
Zeitaufwand für das anfängliche Ereignisprotokoll	Geben Sie die Uhrzeit des frühesten Ereignisprotokolls auf dem Domänencontroller ein, den das Gerät der SRX-Serie zunächst scannen wird. Dieser Scan gilt nur für die erste Bereitstellung. Nachdem WMIC und die Benutzeridentifizierung die Arbeit aufgenommen haben, scannt das Gerät der SRX-Serie nur das neueste Ereignisprotokoll. Die Reichweite beträgt 1 bis 168 Stunden. Der Standardwert ist 1 Stunde.

Tabelle "Versionshistorie"

Release

Beschreibung

19.2R1

Ab Junos OS Version 19.2R1 beträgt der Standardwert 60 Minuten.

19.2R1

Ab Junos OS Version 19.2R1 können Sie für SRX4200-, SRX1500-, SRX550M- und vSRX-Geräte sowie für Geräte der SRX5000- und SRX3000-Reihe die integrierte Benutzer-Firewall in maximal zwei Domänen konfigurieren. Für die anderen Geräte der SRX-Serie können Sie nur eine Domäne erstellen.

Informationen zur Active Directory-Seite

Ähnliche Dokumentation