可以使用 Active Directory 对象创建基于用户身份的安全组和基于身份的防火墙规则。

注: 不要在使用分布式负载均衡器的环境中启用分布式入侵检测服务 (Intrusion Detection Service, IDS)。 NSX-T Data Center 不支持将 IDS 与分布式负载均衡器一起使用。

要启用选择性同步,请使用启用了选择性同步的域创建/更新 API 以及选定组织单位 (Organization Unit, OU) 的列表。如果启用了选择性同步,NSX-T 仅同步选定 OU 中的 AD 数据。在选择性增量同步期间,仅更新位于选定 OU 并在上次同步后创建或更改的 Acitve Directory 数据。如果从选定 OU 中移除了任何目录组,则在选择性增量同步期间不会更新它们。在完整同步期间,在更新了所有目录组后,将更新这些组。有关详细信息,请参见《NSX-T Data Center API 指南》

注: 使用 API 连接具有超过 500 个 OU 的 AD 域。UI 不支持显示具有超过 500 个 OU 的 AD 域。

在开始完整同步后,如果使用 API 手动将其结束,则同步统计信息将不会正确更新。

注: IDFW 依赖于客户机操作系统的安全性和完整性。恶意本地管理员可以通过多种方法来伪造其身份以绕过防火墙规则。用户身份信息由客户机虚拟机中的客户机侦测代理提供。安全管理员必须确保每个客户机虚拟机中均已安装并正在运行 NSX 客户机侦测代理。已登录的用户不应具有移除或停止该代理的特权。

过程

  1. 从浏览器中,使用管理员特权登录到 NSX Manager,网址为 https://<nsx-manager-ip-address>。
  2. 导航到 系统 > 身份防火墙 AD > Active Directory
  3. 单击要同步的 Active Directory 旁边的三按钮菜单图标,然后选择以下选项之一:
    菜单项 描述
    增量同步 执行增量同步,将更新上次同步后发生更改的本地 AD 对象。
    全部同步 执行完整同步,将更新所有 AD 对象的本地状态。
  4. 单击查看同步状态以查看 Active Directory 的当前状态、以前的同步状态、同步状态和上次同步时间。