Pueden usarse los objetos de Active Directory para crear grupos de seguridad basados en identidades de usuario y reglas de firewall basadas en identidades.

Puede registrar un dominio completo de AD (Active Directory) para que lo utilice IDFW (Firewall de identidad), o bien puede sincronizar un subconjunto de un dominio de gran tamaño. Una vez que se haya registrado un dominio, NSX sincronizará todos los datos de AD requeridos por IDFW. Para habilitar la sincronización selectiva, actualice la carga útil de dominio mediante PUT/api//v1/directory/domains/<domain-id>/ update selective_sync_settings, con la opción habilitada establecido en true, y proporcione una lista de OrgUnits para sincronizar. Las OrgUnits nuevas se sincronizarán y las OrgUnits eliminadas se eliminarán de NSX. Para obtener más información, consulte Guía de NSX API.

Si utiliza la API para finalizar manualmente una sincronización completa después de que haya comenzado, las estadísticas de sincronización no se actualizarán correctamente.

Nota: IDFW se basa en la seguridad y la integridad del sistema operativo invitado. Existen varios métodos para que un Local Manager malintencionado suplante su identidad para omitir las reglas de firewall. Guest Introspection Agent de las máquinas virtuales invitadas proporciona la información de identidad del usuario. Los administradores de seguridad deben asegurarse de que NSX Guest Introspection Agent esté instalado y en ejecución en cada máquina virtual invitada. Los usuarios que iniciaron sesión no deben tener el privilegio para eliminar o detener el agente.

Procedimiento

  1. Con privilegios de administrador, inicie sesión en NSX Manager.
  2. Desplácese a Sistema > AD de firewall de identidad.
  3. Haga clic en el icono de menú de tres botones junto a la instancia de Active Directory que desea sincronizar y seleccione una de las siguientes opciones:
    Elemento del menú Descripción
    Sincronizar diferencial Realice una sincronización diferencial, donde se actualizan los objetos locales de Active Directory que cambiaron desde la última sincronización.
    Sincronizar todo Realice una sincronización completa, donde se actualiza el estado local de todos los objetos de Active Directory.
  4. Haga clic en Ver estado de sincronización para ver el estado actual de Active Directory, el estado de sincronización anterior, el estado de sincronización y la última hora de sincronización.