Active Directory est utilisé dans la création de règles de pare-feu d'identité basées sur l'utilisateur.

Windows 2008 n'est pas pris en charge comme serveur Active Directory ou système d'exploitation de serveur RDSH.

Vous pouvez enregistrer un ou plusieurs domaines Windows auprès de NSX Manager. NSX Manager obtient de chaque domaine enregistré des informations sur les utilisateurs et les groupes, ainsi que sur la relation entre eux. NSX Manager récupère également les informations d'identification Active Directory (AD).

Une fois qu'Active Directory est synchronisé avec NSX Manager, vous pouvez créer des groupes de sécurité basés sur l'identité des utilisateurs et créer des règles de pare-feu reposant sur l'identité.

Les limites d'échelle pour Active Directory, le prélèvement de journaux d'événements et IDFW sont disponibles sur la page Valeurs maximales de configuration VMware.

Note : Pour l'application des règles de pare-feu d'identité, le service de temps Windows doit être activé pour toutes les VM utilisant Active Directory. Cela garantit que la date et l'heure sont synchronisées entre Active Directory et les VM. Les modifications apportées à l'appartenance au groupe AD, y compris l'activation et la suppression d'utilisateurs, ne prennent pas immédiatement effet pour les utilisateurs connectés. Pour que les modifications prennent effet, les utilisateurs doivent fermer puis rouvrir leur session. L'administrateur AD doit forcer la fermeture de session lorsque l'appartenance au groupe est modifiée. Ce comportement est une limite d'Active Directory.

Conditions préalables

Si vous utilisez le prélèvement de journaux d'événements, assurez-vous que NTP est correctement configuré sur tous les périphériques qui utilisent l'analyseur de journaux. Pour plus d'informations, reportez-vous à la section Synchronisation de l'heure entre NSX Manager, vIDM et les composants associés.

Le compte de domaine doit disposer d'une autorisation de lecture Active Directory pour tous les objets de l'arborescence de domaine. Le compte du lecteur de journaux d'événements doit disposer d'autorisations d'accès en lecture des journaux des événements de sécurité. Reportez-vous à la section Activer l'accès au journal de sécurité Windows pour le lecteur de journal des événements.

Procédure

  1. Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
  2. Accédez à Système > Annuaire AD de pare-feu d'identité.
  3. Cliquez sur Ajouter Active Directory.
  4. Entrez le nom de l'annuaire Active Directory.
  5. Entrez le Nom NetBios et le Nom unique de base.
    Pour extraire le nom NetBIOS de votre domaine, entrez nbtstat -n dans une fenêtre de commande sur une poste de travail Windows appartenant à un domaine ou situé sur un contrôleur de domaine. Dans la table de noms locaux NetBIOS, l'entrée avec un préfixe <00> et le type Groupe est le nom NetBIOS.
    Un nom unique de base est nécessaire pour ajouter un domaine Active Directory. Un nom unique de base est le point de départ qu'un serveur LDAP utilise lors de la recherche d'authentification des utilisateurs dans un domaine Active Directory. Par exemple, si votre nom de domaine est corp.local, le nom unique du nom unique de base pour Active Directory serait « DC=corp,DC=local ».
  6. Définissez l'Intervalle de synchronisation delta si nécessaire. Une synchronisation delta met à jour les objets AD locaux qui ont changé depuis le dernier événement de synchronisation.
    Les modifications apportées dans Active Directory NE s'affichent PAS sur NSX Managertant qu'une synchronisation delta ou complète n'a pas été effectuée.
  7. Définissez le serveur LDAP. Pour plus d'informations, reportez-vous à la section Ajouter un serveur LDAP.
  8. (Facultatif) Définissez le serveur de journaux des événements. Entrez l'adresse IP ou le nom de domaine complet de l'hôte, le nom d'utilisateur et le mot de passe, puis cliquez sur Appliquer.
  9. En regard de Unités d'organisation à synchroniser, cliquez sur Synchroniser toutes les unités d'organisation et tous les domaines ou Sélectionner les unités d'organisation à synchroniser.
    Les groupes qui sont déplacés des OrgUnits sélectionnées ne sont pas mis à jour lors d'une synchronisation sélective. Les groupes effacés sont supprimés lors d'une synchronisation complète, lorsque tous les groupes sont mis à jour.
    Option Description
    Synchroniser toutes les unités d'organisation et tous les domaines La synchronisation complète de toutes les unités d'organisation est effectuée.
    Sélectionner les unités d'organisation à synchroniser Sélectionnez individuellement les unités d'organisation. Si le parent est sélectionné, les unités enfants à l'intérieur du parent sont automatiquement sélectionnées. Vous pouvez également sélectionner toutes les unités d'organisation en sélectionnant la première zone Unités d'organisation, puis désélectionner les unités spécifiques que vous ne souhaitez pas inclure dans la synchronisation. Seules les unités d'organisation sélectionnées qui sont créées et modifiées depuis la dernière synchronisation Delta seront mises à jour lors d'une synchronisation sélective. Notez que si des utilisateurs et des groupes se trouvent dans des unités d'organisation différentes, vous devez sélectionner celles qui contiennent des utilisateurs.
  10. Cliquez sur Enregistrer.
  11. L'écran Active Directory s'affiche en mode de lecture seule.
  12. Pour modifier un Active Directory :
    1. Cliquez sur le menu à trois points ("") en regard d'Active Directory, puis cliquez sur Modifier.
    2. Vous pouvez désormais effectuer deux actions : Synchronisation Delta ou Tout synchroniser. Pour plus d'informations, reportez-vous à la section Synchroniser Active Directory.