Les objets Active Directory peuvent être utilisés pour créer des groupes de sécurité basés sur l'identité de l'utilisateur et des règles de pare-feu basées sur l'identité.

Note : N'activez pas le service de détection des intrusions distribué (IDS) dans un environnement qui utilise l'équilibreur de charge distribué. NSX-T Data Center ne prend pas en charge l'utilisation d'IDS avec un équilibreur de charge distribué.

Pour activer la synchronisation sélective, utilisez l'API de création/mise à jour de domaine avec synchronisation sélective activée et la liste des unités d'organisation sélectionnées (UO). Lorsque la synchronisation sélective est activée, NSX-T synchronise uniquement les données AD dans les UO sélectionnées. Lors d'une synchronisation Delta sélective, seules les données Acitve Directory qui se trouvent à l'intérieur des unités d'organisation sélectionnées et qui ont été créées ou modifiées depuis la dernière synchronisation sont mises à jour. Si des groupes d'annuaire sont supprimés des unités d'organisation sélectionnées, ils ne seront pas mis à jour lors d'une synchronisation Delta sélective. Ils seront mis à jour lors d'une synchronisation complète lorsque tous les groupes de répertoires seront mis à jour. Pour plus d'informations, reportez-vous à Guide de l'API de NSX-T Data Center.

Note : Utilisez l'API pour connecter un domaine AD avec plus de 500 unités d'organisation. L'interface utilisateur ne prend pas en charge l'affichage d'un domaine AD avec plus de 500 unités d'organisation.

Si vous utilisez l'API pour terminer manuellement une synchronisation complète après son lancement, les statistiques de synchronisation ne seront pas mises à jour correctement.

Note : IDFW s'appuie sur la sécurité et l'intégrité du système d'exploitation invité. Il existe plusieurs méthodes pour qu'un administrateur local malveillant usurpe son identité afin de contourner les règles de pare-feu. Les informations d'identité de l'utilisateur sont fournies par l'agent Guest Introspection dans les machines virtuelles invitées. Les administrateurs de sécurité doivent s'assurer que l'agent NSX Guest Introspection est installé et en cours d'exécution sur chaque machine virtuelle invitée. Les utilisateurs connectés ne doivent pas disposer du privilège pour supprimer ou arrêter l'agent.

Procédure

  1. Dans le navigateur, connectez-vous avec des privilèges d'administrateur à un dispositif NSX Manager sur https://<nsx-manager-ip-address>.
  2. Accédez à Système > Annuaire AD de pare-feu d'identité > Active Directory.
  3. Cliquez sur l'icône de menu représentant trois boutons en regard du répertoire Active Directory que vous souhaitez synchroniser et sélectionnez l'une des options suivantes :
    Élément de menu Description
    Synchronisation Delta Effectuez une synchronisation delta dans laquelle les objets AD locaux qui ont changé depuis la dernière synchronisation sont mis à jour.
    Tout synchroniser Effectuez une synchronisation complète dans laquelle l'état local de tous les objets AD est mis à jour.
  4. Cliquez sur Afficher l'état de synchronisation pour voir l'état actuel du répertoire Active Directory, l'état de synchronisation précédent, l'état de synchronisation et l'heure de la dernière synchronisation.