Active Directory se utiliza para crear reglas de firewall de identidad establecidas por el usuario.

No se admite Windows 2008 como servidor de Active Directory ni como sistema operativo del servidor RDSH.

Puede registrar uno o varios dominios de Windows en NSX Manager. NSX Manager obtiene información del grupo y del usuario, así como de la relación existente entre estos elementos, desde cada dominio con el que está registrado. NSX Manager también recupera las credenciales de Active Directory (AD).

Puede registrar un dominio completo de AD (Active Directory) para que lo utilice IDFW (Firewall de identidad), o bien puede sincronizar un subconjunto de un dominio de gran tamaño. Una vez que se haya registrado un dominio, NSX sincronizará todos los datos de AD requeridos por IDFW. Para habilitar la sincronización selectiva, actualice la carga útil de dominio mediante PUT/api//v1/directory/domains/<domain-id>/ update selective_sync_settings, con la opción habilitada establecido en true, y proporcione una lista de OrgUnits para sincronizar. Las OrgUnits nuevas se sincronizarán y las OrgUnits eliminadas se eliminarán de NSX. Para obtener más información, consulte Guía de la API de NSX-T Data Center.

Una vez que Acgtive Directory se sincroniza con NSX Manager, puede crear grupos de seguridad basados en la identidad del usuario, así como crear reglas de firewall basadas en identidad.

Nota: Para aplicar la regla del firewall de identidad, el servicio hora de Windows debe estar activado para todas las máquinas virtuales que utilicen Active Directory. De esta forma, se asegurará de que la fecha y la hora de Active Directory y de las máquinas virtuales estén sincronizadas. Los cambios en la pertenencia al grupo de AD (incluida la habilitación y eliminación de usuarios) no se aplican inmediatamente a los usuarios que hayan iniciado sesión. Para que los cambios se apliquen, los usuarios deben cerrar sesión y volver a iniciarla. Los administradores de AD deben forzar el cierre de sesión cuando se modifique la pertenencia al grupo. Este comportamiento es una limitación de Active Directory.

Procedimiento

  1. En un explorador, acceda a https://<dirección-ip-de-nsx-manager> e inicie sesión en NSX Manager con privilegios de administrador.
  2. Desplácese a Sistema > AD de firewall de identidad > Active Directory.
  3. Haga clic en Agregar Active Directory.
  4. Introduzca el nombre de Active Directory.
  5. Escriba el Nombre de NetBIOS y el Nombre distintivo de la base.
    Para recuperar el nombre netBIOS del dominio, introduzca nbtstat -n en una ventana de comandos de una estación de trabajo con Windows que sea parte de un dominio o se encuentre en un controlador de dominio. En la Tabla de nombre local NetBIOS (NetBIOS Local Name Table), la entrada con el prefijo <00> y el tipo Grupo (Group) es el nombre de NetBIOS.
    Se necesita un nombre distintivo base (DN base) para agregar un dominio de Active Directory. Un DN base es el punto de partida que utiliza un servidor LDAP al buscar la autenticación de usuarios en un dominio de Active Directory. Por ejemplo, si el nombre de dominio es corp.local, el DN del DN base para Active Directory sería "DC=corp,DC=local".
  6. Establezca el Intervalo de sincronización diferencial si es necesario. Una sincronización diferencial actualiza los objetos AD locales que han cambiado desde el último evento de sincronización.
    Los cambios realizados en Active Directory no se verán en el NSX Manager hasta que se haya realizado una sincronización completa o diferencial.
  7. Haga clic en Guardar.