Pueden usarse los objetos de Active Directory para crear grupos de seguridad basados en identidades de usuario y reglas de firewall basadas en identidades.

Nota: No habilite el servicio de detección de intrusiones (IDS) distribuido en un entorno que utilice un equilibrador de carga distribuido. NSX-T Data Center no admite el uso de IDS con un equilibrador de carga distribuido.

Puede registrar un dominio completo de AD (Active Directory) para que lo utilice IDFW (Firewall de identidad), o bien puede sincronizar un subconjunto de un dominio de gran tamaño. Una vez que se haya registrado un dominio, NSX sincronizará todos los datos de AD requeridos por IDFW. La sincronización selectiva se utiliza para dominios de Active Directory de gran tamaño, donde solo desea sincronizar los valores máximos de configuración para aplicar la sincronización selectiva.

La sincronización selectiva le permite elegir de forma selectiva las unidades organizativas para que no tenga que sincronizar todo el dominio. Solo las unidades de organización seleccionadas que se crearon y se modificaron desde la última sincronización Delta se actualizarán durante una sincronización selectiva. Los grupos que se sacan de las unidades de organización seleccionadas no se actualizan durante una sincronización selectiva. Los grupos eliminados se eliminan en una sincronización completa cuando se actualizan todos los grupos. Para especificar unidades de organización para la sincronización, consulte Configurar Active Directory y la extracción de registros de eventos.

Si utiliza la API para finalizar manualmente una sincronización completa después de que haya comenzado, las estadísticas de sincronización no se actualizarán correctamente.

Los límites de escala de Active Directory e IDFW se pueden encontrar en la página Valores máximos de configuración de VMware.

Nota: IDFW se basa en la seguridad y la integridad del sistema operativo invitado. Existen varios métodos para que un Local Manager malintencionado suplante su identidad para omitir las reglas de firewall. Guest Introspection Agent de las máquinas virtuales invitadas proporciona la información de identidad del usuario. Los administradores de seguridad deben asegurarse de que NSX Guest Introspection Agent esté instalado y en ejecución en cada máquina virtual invitada. Los usuarios que iniciaron sesión no deben tener el privilegio para eliminar o detener el agente.

Procedimiento

  1. Con privilegios de administrador, inicie sesión en NSX Manager.
  2. Desplácese a Sistema > AD de firewall de identidad.
  3. Haga clic en el icono de menú de tres botones () junto a la instancia de Active Directory que desea sincronizar y seleccione una de las siguientes opciones:
    Los grupos que se sacan de las OrgUnits seleccionadas no se actualizan durante una sincronización selectiva. Los grupos eliminados se eliminan en una sincronización completa cuando se actualizan todos los grupos.
    Opción Descripción
    Sincronizar todos los dominios y todas las unidades de organización Se realiza la sincronización completa de todas las unidades organizativas.
    Seleccionar unidades de organización para sincronizar Seleccione las unidades de organización de forma individual. Si se selecciona el elemento principal, las unidades secundarias dentro del elemento principal se seleccionan automáticamente. También puede seleccionar todas las unidades organizativas seleccionando el cuadro Unidades de organización y, a continuación, anulando la selección de las unidades específicas que no desea incluir en la sincronización. Solo las unidades de organización seleccionadas que se crearon y se modificaron desde la última sincronización Delta se actualizarán durante una sincronización selectiva.
  4. Haga clic en Guardar.
  5. Haga clic en Ver estado de sincronización para ver el estado actual de Active Directory, el estado de sincronización anterior, el estado de sincronización y la última hora de sincronización.