Active Directory è utilizzato nella creazione di regole del firewall di identità basate sull'utente.

Windows 2008 non è supportato come server di Active Directory o come sistema operativo server RDSH.

È possibile registrare uno o più domini Windows con un NSX Manager. NSX Manager recupera le informazioni sul gruppo e sull'utente e la relazione tra di essi da ogni dominio che viene registrato. NSX Manager recupera anche le credenziali di Active Directory (AD).

Dopo la sincronizzazione di Active Directory con NSX Manager, è possibile creare gruppi di sicurezza in base all'identità dell'utente e regole del firewall basate sull'identità.

I limiti di scala per Active Directory, scraping del registro eventi e IDFW sono reperibili nella pagina Valori massimi configurazione di VMware.

Nota: Per l'applicazione della regola del firewall di identità, il servizio Ora di Windows deve essere attivo per tutte le macchine virtuali che utilizzano Active Directory. In questo modo, la data e l'ora vengono sincronizzate tra Active Directory e le macchine virtuali. Le modifiche dell'appartenenza al gruppo di AD, tra cui l'abilitazione e l'eliminazione di utenti, non vengono applicate immediatamente per gli utenti che hanno effettuato l'accesso. Per rendere effettive le modifiche, gli utenti devono disconnettersi e quindi eseguire nuovamente l'accesso. L'amministratore di AD deve forzare la disconnessione quando viene modificata l'appartenenza al gruppo. Questo comportamento è una limitazione di Active Directory.

Prerequisiti

Se si utilizza lo scraping del registro eventi, assicurarsi che NTP sia configurato correttamente su tutti i dispositivi che utilizzeranno lo scraping del registro eventi. Per ulteriori informazioni, vedere Sincronizzazione dell'ora tra NSX Manager, vIDM e componenti correlati.

L'account di dominio deve disporre dell'autorizzazione in lettura in Active Directory per tutti gli oggetti contenuti nella struttura di dominio. L'account del lettore di registro eventi deve disporre delle autorizzazioni di lettura per i registri eventi di sicurezza. Vedere Abilitare l'accesso al registro di sicurezza di Windows per il lettore del registro eventi.

Procedura

  1. Con i privilegi admin, accedere a NSX Manager.
  2. Passare a Sistema > AD firewall identità.
  3. Fare clic su Aggiungi Active Directory.
  4. Immettere il nome dell'Active Directory.
  5. Immettere Nome NetBios e Nome distinto di base.
    Per recuperare il nome NetBIOS per il dominio, immettere nbtstat -n in una finestra di comando in una workstation di Windows che fa parte di un dominio o in un controller di dominio. Nella tabella dei nomi locale NetBIOS, la voce con prefisso <00> e di tipo Gruppo è il nome NetBIOS.
    Per aggiungere un dominio di Active Directory è necessario un nome distinto di base (DN di base). Un DN di base è il punto di partenza che un server LDAP utilizza quando cerca l'autenticazione degli utenti all'interno di un dominio di Active Directory. Ad esempio, se il nome del dominio è corp.local, il DN del DN di base per Active Directory sarà "DC=corp,DC=local".
  6. Impostare l'Intervallo di sincronizzazione delta, se necessario. Una sincronizzazione delta aggiorna gli oggetti AD locali che sono stati modificati dall'ultimo evento di sincronizzazione.
    Le modifiche apportate in Active Directory NON vengono visualizzate in NSX Manager finché non viene eseguita una sincronizzazione delta o completa.
  7. Impostare il Server LDAP. Per ulteriori informazioni, consultare Aggiunta di un server LDAP.
  8. (Facoltativo) Impostare il Server registro eventi. Immettere l'IP o l'FQDN dell'host, il nome utente e la password, quindi fare clic su Applica.
  9. Accanto a Unità organizzative da sincronizzare fare clic su Sincronizza tutte le unità organizzative e tutti i domini o Selezionare l'unità organizzative da sincronizzare.
    I gruppi spostati al di fuori delle unità organizzative selezionate non vengono aggiornati durante una sincronizzazione selettiva. I gruppi eliminati vengono rimossi in una sincronizzazione completa, quando tutti i gruppi vengono aggiornati.
    Opzione Descrizione
    Sincronizza tutte le unità organizzative e tutti i domini Viene eseguita la sincronizzazione completa di tutte le unità organizzative.
    Selezionare l'unità organizzative da sincronizzare Selezionare singolarmente le unità organizzative. Se si seleziona l'unità principale, vengono selezionate automaticamente le unità secondarie all'interno dell'unità principale. È inoltre possibile selezionare tutte le unità organizzative selezionando la casella Unità organizzative superiore, quindi deselezionare le unità specifiche che non si desidera includere nella sincronizzazione. Solo le unità organizzative selezionate che vengono create e modificate dall'ultima sincronizzazione delta verranno aggiornate durante una sincronizzazione selettiva. Si noti che se gli utenti e i gruppi si trovano in unità organizzative diverse, è necessario selezionare unità organizzative che contengano utenti.
  10. Fare clic su Salva.
  11. Viene visualizzata la schermata Active Directory nella modalità di sola lettura.
  12. Per modificare un Active Directory:
    1. Fare clic sul menu con tre puntini ("") accanto all'Active Directory e fare clic su Modifica.
    2. Ora è possibile eseguire due azioni: Sincronizza delta o Sincronizza tutto. Per ulteriori informazioni, vedere Sincronizzazione di Active Directory.