Gli oggetti di Active Directory possono essere utilizzati per creare gruppi di sicurezza in base all'identità dell'utente e alle regole del firewall basate sull'identità.

È possibile registrare un intero dominio AD (Active Directory) da utilizzare con IDFW (Identity Firewall) oppure sincronizzare un sottoinsieme di un grande dominio. Una volta registrato un dominio, NSX sincronizza tutti i dati di AD richiesti da IDFW. Per abilitare la sincronizzazione selettiva, aggiornare il payload del dominio utilizzando PUT/api//v1/directory/domains/<domain-id>/ update selective_sync_settings, con abilitato impostato su true e specificare un elenco di unità organizzative da sincronizzare. Le nuove unità organizzative vengono sincronizzate e le unità organizzative eliminate vengono eliminate da NSX. Per ulteriori informazioni, vedere Guida di NSX API

Se si utilizza l'API per concludere manualmente una sincronizzazione completa dopo che è stata avviata, le statistiche della sincronizzazione non verranno aggiornate correttamente.

Nota: IDFW si basa sulla sicurezza e sull'integrità del sistema operativo guest. Un amministratore locale malintenzionato può eseguire lo spoofing della propria identità in più modi per ignorare le regole firewall. Le informazioni sull'identità dell'utente vengono fornite dall'agente di Guest Introspection nelle macchine virtuali guest. Gli amministratori della sicurezza devono verificare che l'agente di NSX Guest Introspection sia installato e in esecuzione in ogni macchina virtuale guest. Gli utenti che hanno effettuato l'accesso non devono avere il privilegio di rimuovere o arrestare l'agente.

Procedura

  1. Con i privilegi admin, accedere a NSX Manager.
  2. Passare a Sistema > AD firewall identità.
  3. Fare clic sull'icona di menu con tre pulsanti accanto all'Active Directory che si desidera sincronizzare e selezionare una delle opzioni seguenti:
    Voce di menu Descrizione
    Sincronizza Delta Esegue una sincronizzazione delta, in cui vengono aggiornati gli oggetti AD locali che sono stati modificati dall'ultima sincronizzazione.
    Sincronizza tutto Esegue una sincronizzazione completa in cui viene aggiornato lo stato locale di tutti gli oggetti di ACTIVE Directory.
  4. Fare clic su Visualizza stato di sincronizzazione per visualizzare lo stato corrente dell'Active Directory, lo stato della sincronizzazione precedente, lo stato della sincronizzazione e l'ultima ora di sincronizzazione.