Les objets Active Directory peuvent être utilisés pour créer des groupes de sécurité basés sur l'identité de l'utilisateur et des règles de pare-feu basées sur l'identité.

Note : N'activez pas le service de détection des intrusions distribué (IDS) dans un environnement qui utilise l'équilibreur de charge distribué. NSX ne prend pas en charge l'utilisation d'IDS avec un équilibreur de charge distribué.

Vous pouvez enregistrer un domaine AD (Active Directory) complet à utiliser par IDFW (Identity Firewall), ou vous pouvez synchroniser un sous-ensemble d'un domaine volumineux. Une fois qu'un domaine est enregistré, NSX synchronise toutes les données AD requises par IDFW. La synchronisation sélective est utilisée pour les grands domaines Active Directory.

Ce type de synchronisation permet de choisir de manière sélective des unités d'organisation afin que vous n'ayez pas à synchroniser l'intégralité du domaine. Seules les unités d'organisation sélectionnées qui sont créées et modifiées depuis la dernière synchronisation Delta seront mises à jour lors d'une synchronisation sélective. Les groupes qui sont sortis des unités d'organisation sélectionnées ne sont pas mis à jour lors d'une synchronisation sélective. Les valeurs maximales de configuration appliquent toujours la synchronisation sélective. Les groupes effacés sont supprimés lors d'une synchronisation complète, lorsque tous les groupes sont mis à jour. Pour spécifier des unités d'organisation pour la synchronisation, reportez-vous à la section Configuration d'Active Directory et du prélèvement de journaux des événements.

Note : Utilisez l'API pour connecter un domaine AD avec plus de 500 unités d'organisation. L'interface utilisateur ne prend pas en charge l'affichage d'un domaine AD avec plus de 500 unités d'organisation.

Si vous utilisez l'API pour terminer manuellement une synchronisation complète après son lancement, les statistiques de synchronisation ne seront pas mises à jour correctement.

Les limites d'échelle pour Active Directory et IDFW sont disponibles sur la page Valeurs maximales de configuration de VMware.

Note : IDFW s'appuie sur la sécurité et l'intégrité du système d'exploitation invité. Il existe plusieurs méthodes pour qu'un administrateur local malveillant usurpe son identité afin de contourner les règles de pare-feu. Les informations d'identité de l'utilisateur sont fournies par l'agent Guest Introspection dans les machines virtuelles invitées. Les administrateurs de sécurité doivent s'assurer que l'agent NSX Guest Introspection est installé et en cours d'exécution sur chaque machine virtuelle invitée. Les utilisateurs connectés ne doivent pas disposer du privilège pour supprimer ou arrêter l'agent.

Procédure

  1. Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
  2. Accédez à Système > Annuaire AD de pare-feu d'identité.
  3. Cliquez sur le menu de trois boutons ("") en regard de l'annuaire Active Directory que vous souhaitez synchroniser et sélectionnez l'une des options suivantes :
    Option Description
    Tout synchroniser La synchronisation complète de toutes les données s'effectue à partir d'Active Directory, quel que soit l'état de synchronisation sur NSX.
    Synchronisation Delta Effectuez une synchronisation delta dans laquelle les objets AD locaux qui ont changé depuis la dernière synchronisation sont mis à jour.

    Aucune synchronisation complète de toutes les données n'est effectuée. Les groupes effacés sont supprimés lors de l'utilisation de l'option Tout synchroniser, lorsque tous les groupes sont mis à jour.

  4. Cliquez sur Enregistrer.
  5. Cliquez sur Afficher l'état de synchronisation pour voir l'état actuel du répertoire Active Directory, l'état de synchronisation précédent, l'état de synchronisation et l'heure de la dernière synchronisation.