Active Directory-Objekte können verwendet werden, um Sicherheitsgruppen basierend auf der Benutzeridentität und identitätsbasierten Firewallregeln zu erstellen.

Sie können eine gesamte AD(Active Directory)-Domäne registrieren, die von IDFW (identitätsbasierte Firewall) verwendet werden soll. Sie können auch eine Teilmenge einer großen Domäne synchronisieren. Nach der Registrierung einer Domäne synchronisiert NSX alle von IDFW benötigten AD-Daten. Um eine selektive Synchronisierung zu aktivieren, aktualisieren Sie die Domänennutzlast mit dem PUT/api//v1/directory/domains/<domain-id>/-Update selective_sync_settings und mit aktivierter Einstellung auf „true“ und stellen Sie eine Liste mit zu synchronisierenden OrgUnits bereit. Neue OrgUnits werden synchronisiert und gelöschte OrgUnits werden aus NSX gelöscht. Weitere Informationen finden Sie unter Handbuch zu NSX-API.

Wenn Sie die API verwenden, um eine vollständige Synchronisierung manuell zu beenden, nachdem sie gestartet wurde, wird die Synchronisierungsstatistik nicht ordnungsgemäß aktualisiert.

Hinweis: IDFW vertraut auf die Sicherheit und Integrität des Gastbetriebssystems. Es gibt mehrere Methoden für einen böswilligen lokalen Administrator, seine Identität zu manipulieren, um Firewallregeln zu umgehen. Benutzeridentitätsinformationen werden vom Guest Introspection Agent innerhalb der Gast-VMs bereitgestellt. Sicherheitsadministratoren müssen sicherstellen, dass auf jeder Gast-VM der NSX Guest Introspection Agent installiert ist und ausgeführt wird. Angemeldete Benutzer sollten nicht über die Berechtigung zum Entfernen oder Beenden des Agents verfügen.

Prozedur

  1. Melden Sie sich mit Administratorrechten bei NSX Manager an.
  2. Navigieren Sie zu System > Identitäts-Firewall-AD.
  3. Klicken Sie neben dem zu synchronisierenden Active Directory auf das aus drei Punkten bestehende Menüsymbol und wählen Sie eine der folgenden Optionen aus:
    Menüelement Beschreibung
    Delta synchronisieren Durchführen einer Delta-Synchronisierung, bei der lokale AD-Objekte aktualisiert werden, die sich seit der letzten Synchronisierung geändert haben.
    Alle synchronisieren Durchführen einer vollständigen Synchronisierung, bei der der lokale Zustand aller AD-Objekte aktualisiert wird.
  4. Klicken Sie auf Synchronisierungsstatus anzeigen, um den aktuellen Status des Active Directory, den vorherigen Synchronisierungsstatus, den aktuellen Synchronisierungsstatus und den Zeitpunkt der letzten Synchronisierung anzuzeigen.