可以使用 Active Directory 对象创建基于用户身份的安全组和基于身份的防火墙规则。

注: 不要在使用分布式负载均衡器的环境中启用分布式入侵检测服务 (Intrusion Detection Service, IDS)。 NSX 不支持将 IDS 与分布式负载均衡器一起使用。

您可以注册整个 AD (Active Directory) 域以供 IDFW(身份防火墙)使用,也可以同步大型域的子集。注册域后,NSX 将同步 IDFW 所需的所有 AD 数据。大型 Active Directory 域使用选择性同步。

选择性同步可以选择特定的组织单位,这样您就不必同步整个域。在选择性同步期间,仅更新在上次增量同步后创建和更改的选定组织单位。在选择性同步期间,不会更新从选定组织单位中移出的组。最高配置仍应用选择性同步。在更新所有组后,将在完全同步中移除删除的组。要指定要同步的组织单位,请参见配置 Active Directory 和事件日志提取

注: 使用 API 连接具有超过 500 个 OU 的 AD 域。UI 不支持显示具有超过 500 个 OU 的 AD 域。

在开始完全同步后,如果使用 API 手动将其结束,则同步统计信息将不会正确更新。

有关 Active Directory 和 IDFW 的扩展限制,请参见 VMware 最高配置页面。

注: IDFW 依赖于客户机操作系统的安全性和完整性。恶意本地管理员可以通过多种方法来伪造其身份以绕过防火墙规则。用户身份信息由客户机虚拟机中的客户机侦测代理提供。安全管理员必须确保每个客户机虚拟机中均已安装并正在运行 NSX 客户机侦测代理。已登录的用户不应具有移除或停止该代理的特权。

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 导航到 系统 > 身份防火墙 AD
  3. 单击要同步的 Active Directory 旁边的三按钮菜单 (""),然后选择以下选项之一:
    选项 描述
    全部同步 从 Active Directory 中对所有数据执行完全同步,无论 NSX 上的同步状态如何都是如此。
    增量同步 执行增量同步,将更新上次同步后发生更改的本地 AD 对象。

    不会对所有数据执行完全同步。在更新所有组后,将在全部同步期间移除删除的组。
  4. 单击保存
  5. 单击查看同步状态以查看 Active Directory 的当前状态、以前的同步状态、同步状态和上次同步时间。