创建基于用户的身份防火墙规则时,会使用 Active Directory。

不支持将 Windows 2008 作为 Active Directory 服务器或 RDSH 服务器操作系统。

可以向 NSX Manager 注册一个或多个 Windows 域。NSX Manager 从向其注册的每个域获取组和用户信息以及两者之间的关系。NSX Manager 还检索 Active Directory (AD) 凭据。

将 Active Directory 同步到 NSX Manager 后,您可以基于用户身份创建安全组,以及创建基于身份的防火墙规则。

有关 Active Directory、事件日志提取和 IDFW 的扩展限制,请参见 VMware 最高配置页面。

注: 对于身份防火墙规则实施,应为所有使用 Active Directory 的虚拟机 开启 Windows 时间服务。这会确保在 Active Directory 和虚拟机之间同步日期和时间。AD 组成员资格变化(包括启用和删除用户)不会立即对登录的用户生效。要使更改生效,用户必须注销,然后重新登录。在修改组成员资格时,AD 管理员应强制注销。此行为是 Active Directory 存在的一个限制。

前提条件

如果使用事件日志抓取,请确保在将使用日志抓取的所有设备上正确配置 NTP,有关详细信息,请参见 NSX Manager、vIDM 和相关组件之间的时间同步

域帐户必须具有域树中所有对象的 Active Directory 读取权限。事件日志读取器帐户必须具有安全事件日志的读取权限。请参见为事件日志读取器启用 Windows 安全日志访问权限

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 导航到 系统 > 身份防火墙 AD
  3. 单击添加 Active Directory
  4. 输入 Active Directory 的名称。
  5. 输入 NetBios 名称基本标识名
    要检索域的 netBIOS 名称,可在属于域或位于域控制器上的 Windows 工作站的命令窗口中输入 nbtstat -n。在 NetBIOS 本地名称表中,前缀为 <00> 且类型为“组”的条目是 NetBIOS 名称。
    要添加 Active Directory 域,需要一个基本标识名(基本 DN)。基本 DN 是 LDAP 服务器在 Active Directory 域中搜索用户身份验证时使用的起点。例如,如果您的域名为 corp.local,则 Active Directory 的基本 DN 的 DN 将为“DC=corp,DC=local”。
  6. 如有必要,请设置增量同步间隔。增量同步更新上次同步事件后发生更改的本地 AD 对象
    只有在执行增量同步或完整同步后,在 Active Directory 中所做的任何更改才会显示在 NSX Manager 上。
  7. 设置 LDAP 服务器。有关详细信息,请参见 添加 LDAP 服务器
  8. (可选) 设置事件日志服务器。输入主机 IP 或 FQDN、用户名和密码,然后单击应用
  9. 要同步的组织单位旁边,单击同步所有组织单位和域选择要同步的组织单位
    在选择性同步期间,不会更新从选定组织单位中移出的组。在更新所有组后,将在完整同步中移除删除的组。
    选项 描述
    同步所有组织单位和域 所有组织单位将执行完整同步。
    选择要同步的组织单位 单独选择组织单位。如果选择了父单位,则会自动选择该父单位中的子单位。您还可以选择顶部的组织单位框,以选择所有组织单位,然后取消选择不希望包含在同步中的特定单位。在选择性同步期间,仅更新在上次增量同步后创建和更改的选定组织单位。请注意,如果用户和组位于不同的组织单位中,则必须选择包含用户的组织单位。
  10. 单击保存
  11. 将以只读模式显示 Active Directory 屏幕。
  12. 要编辑 Active Directory:
    1. 单击 Active Directory 旁边的三个点菜单 (""),然后单击编辑
    2. 现在,您可以执行两个操作:增量同步全部同步。有关详细信息,请参见同步 Active Directory