El firewall de identidad (IDFW) permite normas del firewall distribuido establecidas por el usuario (DFW)

Las reglas del firewall distribuido establecidas por el usuario están determinadas por la pertenencia a un grupo Active Directory (AD). IDFW supervisa si los usuarios de AD iniciaron sesión y asignan el registro a una dirección IP que usa el DFW para aplicar reglas del firewall. El firewall de identidad necesita la trama guest introspection o bien activar la extracción de los registros de los eventos del directorio. Puede usar ambos en su entorno o bien uno de ellos. Cuando se utilizan tanto el recopilador de registros de AD como Guest Introspection, Guest Introspection tendrá prioridad. Tenga en cuenta que si se utiliza el recopilador de registros de eventos de AD y Guest Introspection, ambos son mutuamente exclusivos: si uno de ellos deja de funcionar, el otro no comenzará a trabajar como copia de seguridad.

Los cambios de pertenencia al grupo AD no se aplican inmediatamente para los usuarios que hayan iniciado sesión y utilicen las reglas del firewall de identidad de RDSH, lo que incluye habilitar, deshabilitar y eliminar usuarios. Para que los cambios se apliquen, los usuarios deben cerrar sesión y volver a iniciarla. Le recomendamos que los administradores de AD fuercen un cierre de sesión cuando se modifique la pertenencia al grupo. Este comportamiento es una limitación de Active Directory.

El flujo en dirección norte de IDFW:
  1. Un usuario inicia sesión en una máquina virtual.
  2. El plano de administración de NSX recibe un evento de inicio de sesión de usuario.
  3. El plano de administración de NSX examina el usuario y recibe todos los grupos de Active Directory (AD) a los que el usuario pertenece. A continuación, el plano de administración de NSX envía eventos de modificación de grupo a todos los grupos de AD afectados.
  4. En cada grupo de Active Directory, todos los grupos de seguridad (SG), incluido este grupo de AD, se marcan y se agrega un trabajo a la cola para procesar este cambio. Debido a que un solo SG puede incluir varios grupos de Active Directory, un único evento de inicio de sesión suele activar varios eventos de procesamiento para el mismo SG. Para solucionar este problema, se eliminan las solicitudes de procesamiento de grupo de seguridad duplicadas.

El flujo en dirección sur de IDFW:

  1. Se recibió una solicitud de procesamiento de grupo de seguridad. Si se modifica una SG, NSX actualiza todas las entidades afectadas y activa acciones por reglas de IDFW.
  2. NSX recibe todos los grupos de Active Directory para una SG.
  3. Desde Active Directory, NSX recibe todos los usuarios que pertenecen a grupos de AD.
  4. Los usuarios de Active Directory se asocian a las direcciones IP.
  5. Las direcciones IP se asignan a las vNIC y, a continuación, las vNIC se asignan a máquinas virtuales. La lista de máquinas virtuales que aparece resulta de la traducción del grupo de seguridad a la máquina virtual.
Nota:

El firewall de identidad para RDSH solo se admite con Windows Server 2016, Windows 2012 con VMware Tools 10.2.5 y versiones posteriores, y Windows 2012 R2 con VMware Tools 10.2.5 y versiones posteriores.

Procedimiento

  1. Configure la sincronización de Active Directory en NSX, consulte Sincronizar un dominio de Windows con Active Directory. Esto es necesario para usar los grupos de Active Directory en Service Composer.
  2. Prepare el clúster ESXi para DFW. Consulte cómo preparar el clúster del host para NSX (Prepare the Host Cluster for NSX) en Guía de instalación de NSX.
  3. Configure las opciones de detección de inicio de sesión del firewall de identidad. Se deben configurar una o varias de estas opciones.
    Nota: Si tiene una arquitectura de AD de varios dominios y el extractor de registros no está accesible debido a restricciones de seguridad, Guest Introspection le permitirá generar eventos de inicio y cierre de sesión.