Pueden usarse los objetos de Active Directory para crear grupos de seguridad basados en identidades de usuario y reglas de firewall basadas en identidades.

Nota: No habilite el servicio de detección de intrusiones (IDS) distribuido en un entorno que utilice un equilibrador de carga distribuido. NSX no admite el uso de IDS con un equilibrador de carga distribuido.

Puede registrar un dominio completo de AD (Active Directory) para que lo utilice IDFW (Firewall de identidad), o bien puede sincronizar un subconjunto de un dominio de gran tamaño. Una vez que se haya registrado un dominio, NSX sincronizará todos los datos de AD requeridos por IDFW. La sincronización selectiva se utiliza para dominios de Active Directory de gran tamaño.

La sincronización selectiva le permite elegir de forma selectiva las unidades organizativas para que no tenga que sincronizar todo el dominio. Solo las unidades de organización seleccionadas que se crearon y se modificaron desde la última sincronización Delta se actualizarán durante una sincronización selectiva. Los grupos que se sacan de las unidades de organización seleccionadas no se actualizan durante una sincronización selectiva. Los valores máximos de configuración siguen aplicando la sincronización selectiva. Los grupos eliminados se eliminan en una sincronización completa cuando se actualizan todos los grupos. Para especificar unidades de organización para la sincronización, consulte Configurar Active Directory y la extracción de registros de eventos.

Nota: Utilice la API para conectar un dominio de AD con más de 500 OU. La interfaz de usuario no admite la visualización de un dominio de AD con más de 500 OU.

Si utiliza la API para finalizar manualmente una sincronización completa después de que haya comenzado, las estadísticas de sincronización no se actualizarán correctamente.

Los límites de escala de Active Directory e IDFW se pueden encontrar en la página Valores máximos de configuración de VMware.

Nota: IDFW se basa en la seguridad y la integridad del sistema operativo invitado. Existen varios métodos para que un Local Manager malintencionado suplante su identidad para omitir las reglas de firewall. Guest Introspection Agent de las máquinas virtuales invitadas proporciona la información de identidad del usuario. Los administradores de seguridad deben asegurarse de que NSX Guest Introspection Agent esté instalado y en ejecución en cada máquina virtual invitada. Los usuarios que iniciaron sesión no deben tener el privilegio para eliminar o detener el agente.

Procedimiento

  1. Con privilegios de administrador, inicie sesión en NSX Manager.
  2. Desplácese a Sistema > AD de firewall de identidad.
  3. Haga clic en el icono de menú de tres botones ("") junto a la instancia de Active Directory que desea sincronizar y seleccione una de las siguientes opciones:
    Opción Descripción
    Sincronizar todo La sincronización completa de todos los datos se realiza desde Active Directory, independientemente del estado de sincronización en NSX.
    Sincronizar diferencial Realice una sincronización diferencial, donde se actualizan los objetos locales de Active Directory que cambiaron desde la última sincronización.

    No se realiza una sincronización completa de todos los datos. Los grupos eliminados se quitan durante la sincronización completa, cuando se actualizan todos los grupos.
  4. Haga clic en Guardar.
  5. Haga clic en Ver estado de sincronización para ver el estado actual de Active Directory, el estado de sincronización anterior, el estado de sincronización y la última hora de sincronización.