可以使用 Active Directory 对象创建基于用户身份的安全组和基于身份的防火墙规则。

您可以注册整个 AD (Active Directory) 域以供 IDFW(身份防火墙)使用,也可以同步大型域的子集。注册域后,NSX 将同步 IDFW 所需的所有 AD 数据。

在开始完全同步后,如果使用 API 手动将其结束,则同步统计信息将不会正确更新。

注: IDFW 依赖于客户机操作系统的安全性和完整性。恶意本地管理员可以通过多种方法来伪造其身份以绕过防火墙规则。用户身份信息由客户机虚拟机中的客户机侦测代理提供。安全管理员必须确保每个客户机虚拟机中均已安装并正在运行 NSX 客户机侦测代理。已登录的用户不应具有移除或停止该代理的特权。

过程

  1. 从浏览器中,使用管理员特权登录到 NSX Manager,网址为 https://<nsx-manager-ip-address>。
  2. 导航到 系统 > 身份防火墙 AD > Active Directory
  3. 单击要同步的 Active Directory 旁边的三按钮菜单图标,然后选择以下选项之一:
    菜单项 说明
    增量同步 执行增量同步,将更新上次同步后发生更改的本地 AD 对象。
    全部同步 执行完全同步,将更新所有 AD 对象的本地状态。
  4. 单击查看同步状态以查看 Active Directory 的当前状态、以前的同步状态、同步状态和上次同步时间。