IDFW 支持的目录服务器和日志提取服务器。
| 服务器/版本 | 是否支持? |
|---|---|
| Windows Server 2016 | 是 |
| Windows Server 2012 | 是 |
| Windows Server 2012 R2 | 是 |
| Windows Server 2008 R2 | 否 |
| Windows Server 2008 | 否 |
| Windows Server 2003 | 否 |
| Microsoft AD 以外的 LDAP 服务器 | 否 |
| 服务器/版本 | 是否支持? |
|---|---|
| Windows 2016 | 是 |
| 具有 VMware Tools 10.2.5 和更高版本的 Windows 2012 | 是 |
| 具有 VMware Tools 10.2.5 和更高版本的 Windows 2012 R2 | 是 |
请注意,具有 RDSH 支持的身份防火墙需要安装 Guest Introspection 网络驱动程序。
| 服务器/版本 | 是否支持? |
|---|---|
| 与 LDAP 和 LDAPS 进行域同步 | 是 |
| 通过 CIFS 和 WMI 添加事件日志 | 是 |
| 与单个 rootDN 进行域同步 | 是 |
| 与多个 RootDN OU 进行域同步 | 6.4.0 和更高版本 |
| 与带有层次结构的 OU 单个子树进行域同步 | 6.4.0 和更高版本 |
| 与 OU 的多个子树进行域同步 | 6.4.0 和更高版本 |
| 在选定的 OU 中删除并重新添加同一个域 | 6.4.0 和更高版本 |
| 在已同步的 OU 下添加新的子树 | 6.4.0 和更高版本 |
| 与选定的 BaseDN 同步 | 6.4.0 和更高版本 |
| 同步并忽略禁用的用户 | 是 |
| 对 AD 域中的更改进行增量同步 | 是 |
| 服务器/版本 | 是否支持? |
|---|---|
| Windows Server 2016 | 是 |
| Windows Server 2012 | 是 |
| Windows Server 2012 R2 | 是 |
| Windows Server 2008 R2 | 是 |
| Linux 或其他 LDAP 实施 | 否 |
日志提取限制
- 如果发生以下情况,虚拟机需要重新引导才能提取入站登录事件:
- 禁用或启用用户
- 虚拟机 IP 地址发生更改
- 在 NSX Manager 中重新添加同一个域
- 入站登录事件的事件日志队列有限制,当日志已满时,将不会收到登录事件。
有关域同步的详细信息,请参见将 Windows 域与 Active Directory 同步。
| 服务器/版本 | 是否支持? |
|---|---|
| Win 7(32 位、64 位) | 是 |
| Win 8(64 位) | 是 |
| Win 10(32 位、64 位) | 是 |
| Windows Server 2016 | 是。 |
| Windows Server 2012 | 是 |
| Windows Server 2008 R2 | 是 |
| Linux 支持 | 否 |
Guest Introspection 限制
必须将 GI 框架部署到运行 IDFW 虚拟机的每个群集。
必须在所有客户机虚拟机上完整地安装 VMware Tools ™。
- 不支持 UDP 会话。在客户机虚拟机上不会为 UDP 会话生成网络连接事件。
- 不支持 Linux GOS 与 Active Directory 服务器集成。
支持的 Microsoft Active Directory 配置
根据 Microsoft 的标准和最佳做法设计指南 (https://msdn.microsoft.com/en-us/library/bb727085.aspx),身份防火墙支持 Active Directory 林、域、域树以及组/用户的以下配置,并且已经过测试:
| 场景 | 是否支持? |
|---|---|
| 更改域中用户成员资格 | 是 |
| 循环利用组成员资格 | 是,在 6.2.8 和更高版本中支持 |
| 嵌套的组成员资格 | 是 |
| 添加和修改组名称 | 是 |
| 添加和修改用户名 | 是 |
| 删除组和用户 | 是 |
| 禁用和启用用户 | 是 |
| 场景 | 是否支持? |
|---|---|
| 在父域中创建并隶属于父域中组的用户 | 是 |
| 在子域中创建但隶属于父域中组的用户 | 否 |
| 在子域 1 中创建并具有子域 2 成员资格的用户 | |
| 更改两个不同域(根域和子域)之间的用户成员资格 | 是 |
| 循环利用组成员资格 | 是,在 6.2.8 和更高版本中支持 |
| 在单个域中嵌套组成员资格(不支持跨域嵌套) | 是 |
| 添加和修改组和用户名 | 是 |
| 删除组和用户 | 是 |
| 禁用和启用用户 | 是 |
| 场景 | 是否支持? |
|---|---|
| 同步后更改域密码 | 是 |
| 同步后更改 IP 地址 | 是 |
| 重命名域控制器 | 是 |
| 在域同步期间断开域和事件日志服务器的网络连接,然后重新连接 | 是 |
| 在域同步后断开域和事件日志服务器的网络连接,然后重新连接 | 是 |
注: 规则实施流量和假设
- 只有在从客户机虚拟机启动 TCP 会话时,才会处理用户登录事件。
-
不会发送或处理用户注销事件。强制实施的规则集将会一直保留到自用户上次网络活动后经过 8 小时的时间段,或其他用户从同一虚拟机生成 TCP 连接为止。系统会将此处理为上一个用户的注销和新用户的登录。
- NSX 6.4.0 及更高版本中具有 RDSH 的 IDFW 提供了多用户支持。
-
RDSH 虚拟机登录主要由用于规则实施的上下文引擎来处理。RDSH 登录只会匹配到通过在源中启用用户身份创建的防火墙规则,并且这些规则必须是在新的防火墙规则区域中创建的。如果用户属于源安全组中的非用户身份,并且登录到 RDSH 虚拟机,则该登录将不会触发对源安全组中非用户身份的任何转换。RDSH 虚拟机从不属于源安全组中的任何非用户身份。
