Les objets Active Directory peuvent être utilisés pour créer des groupes de sécurité basés sur l'identité de l'utilisateur et des règles de pare-feu basées sur l'identité.

Vous pouvez enregistrer un domaine AD (Active Directory) complet à utiliser par IDFW (Identity Firewall), ou vous pouvez synchroniser un sous-ensemble d'un domaine volumineux. Une fois qu'un domaine est enregistré, NSX synchronise toutes les données AD requises par IDFW. Pour activer la synchronisation sélective, mettez à jour la charge utile du domaine à l'aide de PUT/api//v1/directory/domains/<domain-id>/ mettez à jour selective_sync_settings, avec l'option activée définie sur true, et fournissez une liste d'OrgUnits à synchroniser. Les nouvelles OrgUnits sont synchronisées et les OrgUnits supprimées sont supprimées de NSX. Pour plus d'informations, reportez-vous au Guide de NSX API

Si vous utilisez l'API pour terminer manuellement une synchronisation complète après son lancement, les statistiques de synchronisation ne seront pas mises à jour correctement.

Note : IDFW s'appuie sur la sécurité et l'intégrité du système d'exploitation invité. Il existe plusieurs méthodes pour qu'un administrateur local malveillant usurpe son identité afin de contourner les règles de pare-feu. Les informations d'identité de l'utilisateur sont fournies par l'agent Guest Introspection dans les machines virtuelles invitées. Les administrateurs de sécurité doivent s'assurer que l'agent NSX Guest Introspection est installé et en cours d'exécution sur chaque machine virtuelle invitée. Les utilisateurs connectés ne doivent pas disposer du privilège pour supprimer ou arrêter l'agent.

Procédure

  1. Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
  2. Accédez à Système > Annuaire AD de pare-feu d'identité.
  3. Cliquez sur l'icône de menu représentant trois boutons en regard du répertoire Active Directory que vous souhaitez synchroniser et sélectionnez l'une des options suivantes :
    Élément de menu Description
    Synchronisation Delta Effectuez une synchronisation delta dans laquelle les objets AD locaux qui ont changé depuis la dernière synchronisation sont mis à jour.
    Tout synchroniser Effectuez une synchronisation complète dans laquelle l'état local de tous les objets AD est mis à jour.
  4. Cliquez sur Afficher l'état de synchronisation pour voir l'état actuel du répertoire Active Directory, l'état de synchronisation précédent, l'état de synchronisation et l'heure de la dernière synchronisation.