Active Directory est utilisé dans la création de règles de pare-feu d'identité basées sur l'utilisateur.

Windows 2008 n'est pas pris en charge comme serveur Active Directory ou système d'exploitation de serveur RDSH.

Vous pouvez enregistrer un ou plusieurs domaines Windows auprès de NSX Manager. NSX Manager obtient de chaque domaine enregistré des informations sur les utilisateurs et les groupes, ainsi que sur la relation entre eux. NSX Manager récupère également les informations d'identification Active Directory (AD).

Vous pouvez enregistrer un domaine AD (Active Directory) complet à utiliser par IDFW (Identity Firewall), ou vous pouvez synchroniser un sous-ensemble d'un domaine volumineux. Une fois qu'un domaine est enregistré, NSX synchronise toutes les données AD requises par IDFW. Pour activer la synchronisation sélective, mettez à jour la charge utile du domaine à l'aide de PUT/api//v1/directory/domains/<domain-id>/ mettez à jour selective_sync_settings, avec l'option activée définie sur true, et fournissez une liste d'OrgUnits à synchroniser. Les nouvelles OrgUnits sont synchronisées et les OrgUnits supprimées sont supprimées de NSX. Pour plus d'informations, reportez-vous au Guide de l'API de NSX-T Data Center

Une fois qu'Active Directory est synchronisé avec NSX Manager, vous pouvez créer des groupes de sécurité basés sur l'identité des utilisateurs et créer des règles de pare-feu reposant sur l'identité.

Note : Pour l'application des règles de pare-feu d'identité, le service de temps Windows doit être activé pour toutes les VM utilisant Active Directory. Cela garantit que la date et l'heure sont synchronisées entre Active Directory et les VM. Les modifications apportées à l'appartenance au groupe AD, y compris l'activation et la suppression d'utilisateurs, ne prennent pas immédiatement effet pour les utilisateurs connectés. Pour que les modifications prennent effet, les utilisateurs doivent fermer puis rouvrir leur session. L'administrateur AD doit forcer la fermeture de session lorsque l'appartenance au groupe est modifiée. Ce comportement est une limite d'Active Directory.

Procédure

  1. Dans le navigateur, connectez-vous avec des privilèges d'administrateur à un dispositif NSX Manager sur https://<nsx-manager-ip-address>.
  2. Accédez à Système > Annuaire AD de pare-feu d'identité > Active Directory.
  3. Cliquez sur Ajouter Active Directory.
  4. Entrez le nom de l'annuaire Active Directory.
  5. Entrez le Nom NetBios et le Nom unique de base.
    Pour extraire le nom NetBIOS de votre domaine, entrez nbtstat -n dans une fenêtre de commande sur une poste de travail Windows appartenant à un domaine ou situé sur un contrôleur de domaine. Dans la table de noms locaux NetBIOS, l'entrée avec un préfixe <00> et le type Groupe est le nom NetBIOS.
    Un nom unique de base est nécessaire pour ajouter un domaine Active Directory. Un nom unique de base est le point de départ qu'un serveur LDAP utilise lors de la recherche d'authentification des utilisateurs dans un domaine Active Directory. Par exemple, si votre nom de domaine est corp.local, le nom unique du nom unique de base pour Active Directory serait « DC=corp,DC=local ».
  6. Définissez l'Intervalle de synchronisation delta si nécessaire. Une synchronisation delta met à jour les objets AD locaux qui ont changé depuis le dernier événement de synchronisation.
    Les modifications apportées dans Active Directory NE s'affichent PAS sur NSX Managertant qu'une synchronisation delta ou complète n'a pas été effectuée.
  7. Cliquez sur Enregistrer.