Les objets Active Directory peuvent être utilisés pour créer des groupes de sécurité basés sur l'identité de l'utilisateur et des règles de pare-feu basées sur l'identité.

Note : N'activez pas le service de détection des intrusions distribué (IDS) dans un environnement qui utilise l'équilibreur de charge distribué. NSX-T Data Center ne prend pas en charge l'utilisation d'IDS avec un équilibreur de charge distribué.

Vous pouvez enregistrer un domaine AD (Active Directory) complet à utiliser par IDFW (Identity Firewall), ou vous pouvez synchroniser un sous-ensemble d'un domaine volumineux. Une fois qu'un domaine est enregistré, NSX synchronise toutes les données AD requises par IDFW. La synchronisation sélective est utilisée pour les grands domaines Active Directory, dans lesquels vous souhaitez uniquement synchroniser les valeurs maximales de configuration pour appliquer toujours la synchronisation sélective.

Ce type de synchronisation permet de choisir de manière sélective des unités d'organisation afin que vous n'ayez pas à synchroniser l'intégralité du domaine. Seules les unités d'organisation sélectionnées qui sont créées et modifiées depuis la dernière synchronisation Delta seront mises à jour lors d'une synchronisation sélective. Les groupes qui sont sortis des unités d'organisation sélectionnées ne sont pas mis à jour lors d'une synchronisation sélective. Les groupes effacés sont supprimés lors d'une synchronisation complète, lorsque tous les groupes sont mis à jour. Pour spécifier des unités d'organisation pour la synchronisation, reportez-vous à la section Configuration d'Active Directory et du prélèvement de journaux des événements.

Si vous utilisez l'API pour terminer manuellement une synchronisation complète après son lancement, les statistiques de synchronisation ne seront pas mises à jour correctement.

Les limites d'échelle pour Active Directory et IDFW sont disponibles sur la page Valeurs maximales de configuration de VMware.

Note : IDFW s'appuie sur la sécurité et l'intégrité du système d'exploitation invité. Il existe plusieurs méthodes pour qu'un administrateur local malveillant usurpe son identité pour contourner les règles de pare-feu. Les informations d'identité d'utilisateur sont fournies par l'agent Guest Introspection dans les machines virtuelles invitées. Les administrateurs de sécurité doivent s'assurer que l'agent NSX Guest Introspection est installé et en cours d'exécution sur chaque machine virtuelle invitée. Les utilisateurs connectés ne doivent pas disposer du privilège pour supprimer ou arrêter l'agent.

Procédure

  1. Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
  2. Accédez à Système > Annuaire AD de pare-feu d'identité.
  3. Cliquez sur le menu de trois boutons () en regard de l'annuaire Active Directory que vous souhaitez synchroniser et sélectionnez l'une des options suivantes :
    Les groupes qui sont déplacés des OrgUnits sélectionnées ne sont pas mis à jour lors d'une synchronisation sélective. Les groupes effacés sont supprimés lors d'une synchronisation complète, lorsque tous les groupes sont mis à jour.
    Option Description
    Synchroniser toutes les unités d'organisation et tous les domaines La synchronisation complète de toutes les unités d'organisation est effectuée.
    Sélectionner les unités d'organisation à synchroniser Sélectionnez individuellement les unités d'organisation. Si le parent est sélectionné, les unités enfants à l'intérieur du parent sont automatiquement sélectionnées. Vous pouvez également sélectionner toutes les unités d'organisation en sélectionnant la première zone Unités d'organisation, puis désélectionner les unités spécifiques que vous ne souhaitez pas inclure dans la synchronisation. Seules les unités d'organisation sélectionnées qui sont créées et modifiées depuis la dernière synchronisation Delta seront mises à jour lors d'une synchronisation sélective.
  4. Cliquez sur Enregistrer.
  5. Cliquez sur Afficher l'état de synchronisation pour voir l'état actuel du répertoire Active Directory, l'état de synchronisation précédent, l'état de synchronisation et l'heure de la dernière synchronisation.