Identity Firewall でサポートされるディレクトリ サーバとログ スクレイピング サーバ。
| サーバ/バージョン | サポート対象 |
|---|---|
| Windows Server 2016 | はい |
| Windows Server 2012 | はい |
| Windows Server 2012 R2 | はい |
| Windows Server 2008 R2 | いいえ |
| Windows Server 2008 | いいえ |
| Windows Server 2003 | いいえ |
| Microsoft Active Directory 以外の LDAP サーバ | いいえ |
| サーバ/バージョン | サポート対象 |
|---|---|
| Windows 2016 | はい |
| VMware Tools 10.2.5 以降を実装している Windows 2012 | はい |
| VMware Tools 10.2.5 以降を実装している Windows 2012 R2 | はい |
Identity Firewall で RDSH をサポートする場合は、ゲスト イントロスペクション ネットワーク ドライバをインストールする必要があります。
| サーバ/バージョン | サポート対象 |
|---|---|
| LDAP のドメインの同期 | はい |
| CIFS と WMI でのイベント ログの追加 | はい |
| 単一ルート DN とドメインの同期 | はい |
| 複数のルート DN 組織単位とドメインの同期 | 6.4.0 以降 |
| レベル階層のある組織単位の単一サブツリーとドメインの同期 | 6.4.0 以降 |
| 組織単位の複数のサブツリーとドメインの同期 | 6.4.0 以降 |
| 選択した組織単位と同じドメインを削除し、再度追加 | 6.4.0 以降 |
| 同期された組織単位に新しいサブツリーを追加 | 6.4.0 以降 |
| 選択したベース DN と同期 | 6.4.0 以降 |
| 無効なユーザーを無視して同期 | はい |
| Active Directory ドメイン内の変更を反映する差分同期 | はい |
| サーバ/バージョン | サポート対象 |
|---|---|
| Windows Server 2016 | はい |
| Windows Server 2012 | はい |
| Windows Server 2012 R2 | はい |
| Windows Server 2008 R2 | はい |
| Linux やその他の LDAP 実装 | いいえ |
- 次の場合、仮想マシンを再起動しないと、ログイン イベントを受信できません。
- ユーザーが無効または有効
- 仮想マシンの IP アドレスの変更
- NSX Manager と同じドメインを再追加
- 受信ログイン イベントのイベント ログ キューには制限があり、ログがいっぱいになると、[] とログイン イベントが受信されません。
ドメイン同期の詳細については、Windows ドメインと Active Directory の同期 を参照してください
| サーバ/バージョン | サポート対象 |
|---|---|
| Win 7(32 ビット、64 ビット) | はい |
| Win 8(64 ビット) | はい |
| Win 10(32 ビット、64 ビット) | はい |
| Windows Server 2016 | はい |
| Windows Server 2012 | はい |
| Windows Server 2008 R2 | はい |
| Linux のサポート | いいえ |
ゲスト イントロスペクション フレームワークは、Identity Firewall (IDFW) 仮想マシンを実行している各クラスタにデプロイする必要があります。
すべてのゲスト仮想マシンに、VMware Tools ™ をフル インストールする必要があります。
- UDP セッションはサポートされていません。ゲスト仮想マシンでは、UDP セッション用のネットワーク イベントは生成されません。
- Active Directory サーバと Linux gOS との連携はサポートされていません。
サポートされている Microsoft Active Directory の設定
Identity Firewall では、Microsoft の標準規格とベスト プラクティス デザイン ガイド (https://msdn.microsoft.com/en-us/library/bb727085.aspx) に基づいて、次の Active Directory フォレスト、ドメイン、ドメイン ツリー、グループ/ユーザーの設定がサポートされ、テストされます:
| シナリオ | サポート対象 |
|---|---|
| ドメイン内のユーザー メンバーシップの変更 | はい |
| 循環グループ メンバーシップ | 〇(6.2.8 以降でサポート) |
| ネストされたグループのメンバーシップ | はい |
| グループ名の追加と変更 | はい |
| ユーザー名の追加と変更 | 〇 |
| グループとユーザーの削除 | はい |
| ユーザーの有効化と無効化 | はい |
| シナリオ | サポート対象 |
|---|---|
| 親ドメインで作成され、親ドメインのグループに参加しているユーザー | はい |
| 子ドメインで作成され、親ドメインのグループに参加しているユーザー | × |
| 子ドメイン 1 に作成され、メンバーシップが子ドメイン 2 のユーザー | |
| 2 つの異なるドメイン間でのユーザー メンバーシップの変更(ルートと子) | はい |
| 循環グループ メンバーシップ | 〇(6.2.8 以降でサポート) |
| 単一ドメイン内のネストされたグループ メンバーシップ(クロス ドメインはサポートされません) | はい |
| グループ/ユーザー名の追加と名変更 | 〇 |
| グループとユーザーの削除 | はい |
| ユーザーの有効化と無効化 | はい |
| シナリオ | サポート対象 |
|---|---|
| 同期後のドメイン パスワードの変更 | はい |
| 同期後の IP アドレスの変更 | はい |
| ドメイン コントローラ名の変更 | はい |
| ドメイン サーバおよびイベント ログ サーバへのネットワークを切断して、ドメインの同期時に再接続 | はい |
| ドメイン サーバおよびイベント ログ サーバへのネットワークを切断して、ドメインの同期後に再接続 | はい |
- ゲスト仮想マシンから TCP セッションが開始された場合にのみ、ユーザーのログイン イベントに進みます。
-
ユーザー ログアウト イベントが送信または処理されていません。適用されたルールセットは、ユーザーの最後のネットワーク アクティビティから 8 時間が経過するか、別のユーザーが同じ仮想マシンから TCP 接続を開始するまで、適用された状態が続きます。このイベントは、前のユーザーがログアウトして新しいユーザーがログインすると処理されます。
- NSX 6.4.0 以降の RDSH では、IDFW でマルチ ユーザー サポートを使用できます。
-
RDSH 仮想マシンのログインは、主にコンテキスト エンジンによって処理され、ルールが適用されます。RDSH ログインは、[送信元でユーザー ID を有効にする] が選択されたファイアウォール ルールにのみ一致します。このルールは、ファイアウォール ルールの新しいセクションに作成する必要があります。送信元のセキュリティ グループでユーザー以外の ID に属しているユーザーが RDSH 仮想マシンにログインすると、送信元のセキュリティ グループでユーザー以外の ID に変換されません。RDSH 仮想マシンは、送信元のセキュリティ グループでユーザー以外の ID に属しません。
