Active Directory se utiliza para crear reglas de firewall de identidad establecidas por el usuario.

No se admite Windows 2008 como servidor de Active Directory ni como sistema operativo del servidor RDSH.

Puede registrar uno o varios dominios de Windows en NSX Manager. NSX Manager obtiene información del grupo y del usuario, así como de la relación existente entre estos elementos, desde cada dominio con el que está registrado. NSX Manager también recupera las credenciales de Active Directory (AD).

Una vez que Acgtive Directory se sincroniza con NSX Manager, puede crear grupos de seguridad basados en la identidad del usuario, así como crear reglas de firewall basadas en identidad.

Los límites de escala de Active Directory, la extracción de registros de eventos e IDFW se pueden encontrar en la página Valores máximos de configuración de VMware.

Nota: Para aplicar la regla del firewall de identidad, el servicio hora de Windows debe estar activado para todas las máquinas virtuales que utilicen Active Directory. De esta forma, se asegurará de que la fecha y la hora de Active Directory y de las máquinas virtuales estén sincronizadas. Los cambios en la pertenencia al grupo de AD (incluida la habilitación y eliminación de usuarios) no se aplican inmediatamente a los usuarios que hayan iniciado sesión. Para que los cambios se apliquen, los usuarios deben cerrar sesión y volver a iniciarla. Los administradores de AD deben forzar el cierre de sesión cuando se modifique la pertenencia al grupo. Este comportamiento es una limitación de Active Directory.

Requisitos previos

Si utiliza la extracción de registros de eventos, asegúrese de que NTP esté configurado correctamente en todos los dispositivos que utilizarán la extracción de registros. Para obtener más información, consulte Sincronización de hora entre NSX Manager, vIDM y componentes relacionados.

La cuenta de dominio debe tener permiso de lectura de Active Directory para todos los objetos del árbol de dominio. La cuenta del lector de registros de eventos debe tener permisos de lectura para los registros de eventos de seguridad. Consulte Habilitar el acceso al registro de seguridad Windows para el lector de registros de eventos.

Procedimiento

  1. Con privilegios de administrador, inicie sesión en NSX Manager.
  2. Desplácese a Sistema > AD de firewall de identidad.
  3. Haga clic en Agregar Active Directory.
  4. Introduzca el nombre de Active Directory.
  5. Escriba el Nombre de NetBIOS y el Nombre distintivo de la base.
    Para recuperar el nombre netBIOS del dominio, introduzca nbtstat -n en una ventana de comandos de una estación de trabajo con Windows que sea parte de un dominio o se encuentre en un controlador de dominio. En la Tabla de nombre local NetBIOS (NetBIOS Local Name Table), la entrada con el prefijo <00> y el tipo Grupo (Group) es el nombre de NetBIOS.
    Se necesita un nombre distintivo base (DN base) para agregar un dominio de Active Directory. Un DN base es el punto de partida que utiliza un servidor LDAP al buscar la autenticación de usuarios en un dominio de Active Directory. Por ejemplo, si el nombre de dominio es corp.local, el DN del DN base para Active Directory sería "DC=corp,DC=local".
  6. Establezca el Intervalo de sincronización diferencial si es necesario. Una sincronización diferencial actualiza los objetos AD locales que han cambiado desde el último evento de sincronización.
    Los cambios realizados en Active Directory no se verán en el NSX Manager hasta que se haya realizado una sincronización completa o diferencial.
  7. Configure un Servidor LDAP. Consulte Agregar un servidor LDAP para obtener más información.
  8. (opcional) Establezca el Servidor de registro de eventos. Introduzca la IP o el FQDN del host, el nombre de usuario y la contraseña y, a continuación, haga clic en Aplicar.
  9. Junto a Unidades de organización para sincronizar, haga clic en Sincronizar todos los dominios y todas las unidades de organización o Seleccionar unidades de organización para sincronizar.
    Los grupos que se sacan de las OrgUnits seleccionadas no se actualizan durante una sincronización selectiva. Los grupos eliminados se eliminan en una sincronización completa cuando se actualizan todos los grupos.
    Opción Descripción
    Sincronizar todos los dominios y todas las unidades de organización Se realiza la sincronización completa de todas las unidades organizativas.
    Seleccionar unidades de organización para sincronizar Seleccione las unidades de organización de forma individual. Si se selecciona el elemento principal, las unidades secundarias dentro del elemento principal se seleccionan automáticamente. También puede seleccionar todas las unidades organizativas seleccionando el cuadro Unidades de organización y, a continuación, anulando la selección de las unidades específicas que no desea incluir en la sincronización. Solo las unidades de organización seleccionadas que se crearon y se modificaron desde la última sincronización Delta se actualizarán durante una sincronización selectiva. Recuerde que si los usuarios y los grupos se encuentran en unidades de organización diferentes, deberá seleccionar unidades de organización que contengan usuarios.
  10. Haga clic en Guardar.
  11. Se abrirá la pantalla Active Directory en modo de solo lectura.
  12. Para editar una entrada de Active Directory:
    1. Haga clic en el menú de tres puntos ("") junto al Active Directory y haga clic en Editar.
    2. Ahora puede realizar dos acciones: Sincronizar diferencial o Sincronizar todo. Para obtener más información, consulte Sincronizar Active Directory.