Gli oggetti di Active Directory possono essere utilizzati per creare gruppi di sicurezza in base all'identità dell'utente e alle regole del firewall basate sull'identità.

Nota: Non abilitare il servizio distribuito di rilevamento delle intrusioni (IDS) in un ambiente che utilizza il bilanciamento del carico distribuito. NSX non supporta l'utilizzo di IDS con un bilanciamento del carico distribuito.

È possibile registrare un intero dominio AD (Active Directory) da utilizzare con IDFW (Identity Firewall) oppure sincronizzare un sottoinsieme di un grande dominio. Una volta registrato un dominio, NSX sincronizza tutti i dati di AD richiesti da IDFW. La sincronizzazione selettiva viene utilizzata per i domini di Active Directory di grandi dimensioni.

La sincronizzazione selettiva consente di scegliere in modo selettivo le unità organizzative in modo da non dover sincronizzare l'intero dominio. Solo le unità organizzative selezionate che vengono create e modificate dall'ultima sincronizzazione delta verranno aggiornate durante una sincronizzazione selettiva. I gruppi spostati fuori dalle unità organizzative selezionate non vengono aggiornati durante una sincronizzazione selettiva. I valori massimi della configurazione applicano ancora la sincronizzazione selettiva. I gruppi eliminati vengono rimossi in una sincronizzazione completa, quando tutti i gruppi vengono aggiornati. Per specificare le unità organizzative per la sincronizzazione, vedere Configurazione di Active Directory e dello scraping del registro eventi.

Nota: Utilizzare l'API per connettere un dominio AD con più di 500 unità organizzative. L'interfaccia utente non supporta la visualizzazione di un dominio AD con più di 500 unità organizzative.

Se si utilizza l'API per concludere manualmente una sincronizzazione completa dopo che è stata avviata, le statistiche della sincronizzazione non verranno aggiornate correttamente.

I limiti di scalabilità per Active Directory e IDFW sono disponibili nella pagina VMware Configuration Maximums.

Nota: IDFW si basa sulla sicurezza e sull'integrità del sistema operativo guest. Un amministratore locale malintenzionato può eseguire lo spoofing della propria identità in più modi per ignorare le regole firewall. Le informazioni sull'identità dell'utente vengono fornite dall'agente di Guest Introspection nelle macchine virtuali guest. Gli amministratori della sicurezza devono verificare che l'agente di NSX Guest Introspection sia installato e in esecuzione in ogni macchina virtuale guest. Gli utenti che hanno effettuato l'accesso non devono avere il privilegio di rimuovere o arrestare l'agente.

Procedura

  1. Con i privilegi admin, accedere a NSX Manager.
  2. Passare a Sistema > AD firewall identità.
  3. Fare clic sul menu con tre pulsanti ("") accanto all'Active Directory che si desidera sincronizzare e selezionare una delle opzioni seguenti:
    Opzione Descrizione
    Sincronizza tutto La sincronizzazione completa di tutti i dati viene eseguita da Active Directory, indipendentemente dallo stato della sincronizzazione su NSX.
    Sincronizza Delta Esegue una sincronizzazione delta, in cui vengono aggiornati gli oggetti AD locali che sono stati modificati dall'ultima sincronizzazione.

    Non viene eseguita una sincronizzazione completa di tutti i dati. I gruppi eliminati vengono rimossi quando è selezionata l'opzione Sincronizza tutti, quando tutti i gruppi vengono aggiornati.
  4. Fare clic su Salva.
  5. Fare clic su Visualizza stato di sincronizzazione per visualizzare lo stato corrente dell'Active Directory, lo stato della sincronizzazione precedente, lo stato della sincronizzazione e l'ultima ora di sincronizzazione.