创建基于用户的身份防火墙规则时,会使用 Active Directory。

不支持将 Windows 2008 作为 Active Directory 服务器或 RDSH 服务器操作系统。

可以向 NSX Manager 注册一个或多个 Windows 域。NSX Manager 从向其注册的每个域获取组和用户信息以及两者之间的关系。NSX Manager 还检索 Active Directory (AD) 凭据。

您可以注册整个 AD (Active Directory) 域以供 IDFW(身份防火墙)使用,也可以同步大型域的子集。注册域后,NSX 将同步 IDFW 所需的所有 AD 数据。要启用选择性同步,请使用 PUT/api//v1/directory/domains/<domain-id>/ 更新 selective_sync_settings(将 enabled 设置为 true)以更新域负载,并且提供要同步的组织单位列表。此时将同步新的组织单位,并从 NSX 中删除已删除的组织单位。有关详细信息,请参见《NSX-T Data Center API 指南》

将 Active Directory 同步到 NSX Manager 后,您可以基于用户身份创建安全组,以及创建基于身份的防火墙规则。

注: 对于身份防火墙规则实施,应为所有使用 Active Directory 的虚拟机 开启 Windows 时间服务。这会确保在 Active Directory 和虚拟机之间同步日期和时间。AD 组成员资格变化(包括启用和删除用户)不会立即对登录的用户生效。要使更改生效,用户必须注销,然后重新登录。在修改组成员资格时,AD 管理员应强制注销。此行为是 Active Directory 存在的一个限制。

过程

  1. 从浏览器中,使用管理员特权登录到 NSX Manager,网址为 https://<nsx-manager-ip-address>。
  2. 导航到 系统 > 身份防火墙 AD > Active Directory
  3. 单击添加 Active Directory
  4. 输入 Active Directory 的名称。
  5. 输入 NetBios 名称基本标识名
    要检索域的 netBIOS 名称,可在属于域或位于域控制器上的 Windows 工作站的命令窗口中输入 nbtstat -n。在 NetBIOS 本地名称表中,前缀为 <00> 且类型为“组”的条目是 NetBIOS 名称。
    要添加 Active Directory 域,需要一个基本标识名(基本 DN)。基本 DN 是 LDAP 服务器在 Active Directory 域中搜索用户身份验证时使用的起点。例如,如果您的域名为 corp.local,则 Active Directory 的基本 DN 的 DN 将为“DC=corp,DC=local”。
  6. 如有必要,请设置增量同步间隔。增量同步更新上次同步事件后发生更改的本地 AD 对象
    只有在执行增量同步或完全同步后,在 Active Directory 中所做的任何更改才会显示在 NSX Manager 上。
  7. 单击保存