可以使用 Active Directory 对象创建基于用户身份的安全组和基于身份的防火墙规则。

您可以注册整个 AD (Active Directory) 域以供 IDFW(身份防火墙)使用,也可以同步大型域的子集。注册域后,NSX 将同步 IDFW 所需的所有 AD 数据。要启用选择性同步,请使用 PUT/api//v1/directory/domains/<domain-id>/ 更新 selective_sync_settings(将 enabled 设置为 true)以更新域负载,并且提供要同步的组织单位列表。此时将同步新的组织单位,并从 NSX 中删除已删除的组织单位。有关详细信息,请参见NSX API 指南

在开始完全同步后,如果使用 API 手动将其结束,则同步统计信息将不会正确更新。

注: IDFW 依赖于客户机操作系统的安全性和完整性。恶意本地管理员可以通过多种方法来伪造其身份以绕过防火墙规则。用户身份信息由客户机虚拟机中的客户机侦测代理提供。安全管理员必须确保每个客户机虚拟机中均已安装并正在运行 NSX 客户机侦测代理。已登录的用户不应具有移除或停止该代理的特权。

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 导航到 系统 > 身份防火墙 AD
  3. 单击要同步的 Active Directory 旁边的三按钮菜单图标,然后选择以下选项之一:
    菜单项 说明
    增量同步 执行增量同步,将更新上次同步后发生更改的本地 AD 对象。
    全部同步 执行完全同步,将更新所有 AD 对象的本地状态。
  4. 单击查看同步状态以查看 Active Directory 的当前状态、以前的同步状态、同步状态和上次同步时间。