Configurations testées et prises en charge du pare-feu d'identité

Serveurs d'annuaire et serveurs d'analyseur de journaux pris en charge avec IDFW.

Tableau 1. Serveurs d'annuaire et versions
Serveur/Version	Pris en charge ?
Windows Server 2016	Oui
Windows Server 2012	Oui
Windows Server 2012 R2	Oui
Windows Server 2008 R2	Non
Windows Server 2008	Non
Windows Server 2003	Non
Serveurs LDAP autres que Microsoft AD	Non

Tableau 2. Système d’exploitation Windows pour les postes de travail RDSH
Serveur/Version	Pris en charge ?
Windows 2016	Oui
Windows 2012 avec VMware Tools 10.2.5 et versions ultérieures	Oui
Windows 2012 R2 avec VMware Tools 10.2.5 et versions ultérieures	Oui

Notez que la prise en charge d'Identity Firewall avec RDSH requiert l'installation des pilotes réseau de Guest Introspection.

Tableau 3. Options de synchronisation de domaine
Serveur/Version	Pris en charge ?
Synchronisation de domaine avec LDAP ou LDAPS	Oui
Ajout de journal des événements avec CIFS et WMI	Oui
Synchronisation de domaine avec un seul nom unique racine	Oui
Synchronisation de domaine avec plusieurs unités d'organisation de nom unique racine	6.4.0 et versions ultérieures
Synchronisation de domaine avec sous-arborescence unique d'unités d'organisation avec la hiérarchie de niveau	6.4.0 et versions ultérieures
Synchronisation de domaine avec sous-arborescence multiple d'unités d'organisation	6.4.0 et versions ultérieures
Supprimer et rajouter le même domaine avec une unité d'organisation sélective	6.4.0 et versions ultérieures
Ajouter une nouvelle sous-arborescence sous une unité d'organisation synchronisée	6.4.0 et versions ultérieures
Synchroniser avec un nom unique de base sélectif	6.4.0 et versions ultérieures
Synchroniser en ignorant les utilisateurs désactivés	Oui
Synchronisation delta avec des modifications dans le domaine AD	Oui

Tableau 4. Serveurs d'analyseur de journaux et versions
Serveur/Version	Pris en charge ?
Windows Server 2016	Oui
Windows Server 2012	Oui
Windows Server 2012 R2	Oui
Windows Server 2008 R2	Oui
Linux ou autres implémentations LDAP	Non

Limitations de l'analyseur de journaux

La machine virtuelle nécessite un redémarrage pour l'événement de connexion entrant si ce qui suit se produit :
- Des utilisateurs sont désactivés ou activés.
- L'adresse IP de la VM change.
- Le même domaine avec NSX Manager est ajouté de nouveau.
La file d'attente du journal des événements pour les événements de connexion entrants est limitée et les événements de connexion ne sont pas reçus si le journal est plein.

Pour plus d'informations sur la synchronisation de domaine, reportez-vous à la section Synchroniser un domaine Windows avec Active Directory.

Tableau 5. Système d'exploitation avec Guest Introspection
Serveur/Version	Pris en charge ?
Win-7 (32 bits, 64 bits)	Oui
Win-8 (64 bits)	Oui
Win-10 (32 bits, 64 bits)	Oui
Windows Server 2016	Oui.
Windows Server 2012	Oui
Windows Server 2008 R2	Oui
Prise en charge de Linux	Non

Limitations de Guest Introspection

L'infrastructure GI doit être déployée sur chaque cluster sur lequel les machines virtuelles IDFW sont en cours d'exécution.
Une installation complète de VMware Tools ™ doit être effectuée sur toutes les machines virtuelles invitées.
Les sessions UDP ne sont pas prises en charge. Des événements de mise en réseau ne sont pas générés pour les sessions UDP sur les machines virtuelles invitées.
L'intégration Linux GOS avec le serveur Active Directory n'est pas prise en charge.

Configurations Microsoft Active Directory prises en charge

En fonction des guides de conception des normes et des meilleures pratiques de Microsoft, https://msdn.microsoft.com/en-us/library/bb727085.aspx, les configurations suivantes de forêts Active Directory, domaines, arborescences de domaine, groupes/utilisateurs sont prises en charge et testées pour Identity Firewall :

Tableau 6. Forêt unique, domaine unique et imbrication de groupes Active Directory et configurations d'utilisateur
Scénarios	Pris en charge ?
Modifier l'appartenance d'un utilisateur au sein du domaine	Oui
Appartenance au groupe circulaire	Oui, pris en charge à partir de la version 6.2.8 et versions ultérieures
Appartenance au groupe imbriquée	Oui
Ajouter et modifier le nom de groupe	Oui
Ajouter et modifier le nom d'utilisateur	Oui
Supprimer le groupe et l'utilisateur	Oui
Désactiver et activer l'utilisateur	Oui

Tableau 7. Forêt unique, domaine forêt et arborescence de sous-domaines
Scénarios	Pris en charge ?
Utilisateurs créés dans le domaine parent et partie de groupes dans le domaine parent	Oui
Utilisateurs créés dans le domaine enfant, mais partie de groupes dans le domaine parent	Non
Utilisateurs créés dans Domaine1 enfant et appartenance dans Domaine2 enfant
Modifier l'appartenance d'utilisateur entre deux domaines différents (racine et enfant)	Oui
Appartenance au groupe circulaire	Oui, pris en charge à partir de la version 6.2.8 et versions ultérieures
Appartenance au groupe imbriquée dans un domaine unique (non pris en charge pour les domaines croisés)	Oui
Ajouter et modifier un groupe et un nom d'utilisateur	Oui
Supprimer le groupe et l'utilisateur	Oui
Désactiver et activer l'utilisateur	Oui

Tableau 8. Forêt unique, domaine forêt et arborescence de sous-domaines
Scénarios	Pris en charge ?
Modifier le mot de passe de domaine après la synchronisation	Oui
Modifier l'adresse IP après la synchronisation	Oui
Renommer les contrôleurs de domaine	Oui
Déconnecter et reconnecter le réseau du domaine et du serveur de journal des événements lors de la synchronisation du domaine	Oui
Déconnecter et reconnecter le réseau du domaine et du serveur de journal des événements après la synchronisation du domaine	Oui

Note : Flux et hypothèses de l'application des règles

Un événement de connexion d'utilisateur est traité uniquement lorsqu'une session TCP est lancée à partir d'une VM invitée.
Les événements de déconnexion d'utilisateur ne sont pas envoyés ou traités. L'ensemble de règles appliqué reste pendant une période de 8 heures après la dernière activité d'un utilisateur sur le réseau ou jusqu'à ce qu'un autre utilisateur génère une connexion TCP à partir de la même machine virtuelle. Le système traite cela comme une déconnexion de l'utilisateur précédent et une connexion du nouvel utilisateur.
Une prise en charge de plusieurs utilisateurs est disponible avec IDFW avec RDSH dans NSX 6.4.0 et versions ultérieures.
Les connexions de VM RDSH sont gérées principalement par le moteur de contexte pour la mise en application de règles. Les connexions RDSH correspondent uniquement aux règles de pare-feu créées avec Activer l'identité d'utilisateur à la source et la règle doit être créée dans une nouvelle section de Règles de pare-feu. Si un utilisateur appartient à une identité de non-utilisateur au niveau du groupe de sécurité source et qu'il se connecte à une VM RDSH, la connexion ne déclenche aucune traduction sur cette identité. Une VM RDSH n'appartient jamais à une identité de non-utilisateur au niveau de groupes de sécurité source.