创建基于用户的身份防火墙规则时,会使用 Active Directory。
不支持将 Windows 2008 作为 Active Directory 服务器或 RDSH 服务器操作系统。
可以向 NSX Manager 注册一个或多个 Windows 域。NSX Manager 从向其注册的每个域获取组和用户信息以及两者之间的关系。NSX Manager 还检索 Active Directory (AD) 凭据。
将 Active Directory 同步到 NSX Manager 后,您可以基于用户身份创建安全组,以及创建基于身份的防火墙规则。
有关 Active Directory、事件日志提取和 IDFW 的扩展限制,请参见 VMware 最高配置页面。
注: 对于身份防火墙规则实施,应为所有使用 Active Directory 的虚拟机
开启 Windows 时间服务。这会确保在 Active Directory 和虚拟机之间同步日期和时间。AD 组成员资格变化(包括启用和删除用户)不会立即对登录的用户生效。要使更改生效,用户必须注销,然后重新登录。在修改组成员资格时,AD 管理员应强制注销。此行为是 Active Directory 存在的一个限制。
过程
- 使用 admin 特权登录到 NSX Manager。
- 导航到。
- 单击添加 Active Directory。
- 输入 Active Directory 的名称。
- 输入 NetBios 名称和基本标识名。
要检索域的 netBIOS 名称,可在属于域或位于域控制器上的 Windows 工作站的命令窗口中输入
nbtstat -n。在 NetBIOS 本地名称表中,前缀为 <00> 且类型为“组”的条目是 NetBIOS 名称。
要添加 Active Directory 域,需要一个基本标识名(基本 DN)。基本 DN 是 LDAP 服务器在 Active Directory 域中搜索用户身份验证时使用的起点。例如,如果您的域名为 corp.local,则 Active Directory 的基本 DN 的 DN 将为“DC=corp,DC=local”。
- 如有必要,请设置增量同步间隔。增量同步更新上次同步事件后发生更改的本地 AD 对象
只有在执行增量同步或完全同步后,在 Active Directory 中所做的任何更改才会显示在
NSX Manager 上。
- 如有必要,请设置 LDAP 服务器。有关详细信息,请参见添加 LDAP 服务器。
- 设置事件日志服务器。输入主机 IP 或 FQDN、用户名和密码,然后单击应用。
- 单击问号以选择要同步的组织单位以及屏幕顶部显示的 AD 名称。
在选择性同步期间,不会更新从选定组织单位中移出的组。在更新所有组后,将在完全同步中移除删除的组。
选项 |
描述 |
同步所有组织单位和域 |
所有组织单位将执行完全同步。 |
选择要同步的组织单位 |
单独选择组织单位。如果选择了父单位,则会自动选择该父单位中的子单位。您还可以选择顶部的组织单位框,以选择所有组织单位,然后取消选择不希望包含在同步中的特定单位。在选择性同步期间,仅更新在上次增量同步后创建和更改的选定组织单位。请注意,如果用户和组位于不同的组织单位中,则必须选择包含用户的组织单位。 |
- 单击保存。
- 将以只读模式显示 Active Directory 屏幕。
- 要编辑 Active Directory:
- 单击 Active Directory 旁边的三个点菜单 (),然后单击编辑。