Active Directory は、ユーザーベースの Identity Firewall ルールを作成するときに使用されます。

Windows 2008 は、Active Directory サーバまたは RDSH サーバ OS としてサポートされていません。

NSX Manager に 1 つ以上の Windows ドメインを登録できます。NSX Manager は、グループ、ユーザー情報、およびこれらの関係を登録された各ドメインから取得します。NSX Manager は、Active Directory (AD) の認証情報も取得します。

Active Directory (AD) ドメイン全体を IDFW (Identity Firewall) で使用するように登録することも、大規模なドメインのサブセットを同期することもできます。ドメインが登録されると、NSX は、IDFW が必要とするすべての Active Directory データを同期します。選択的な同期を有効にするには、PUT/api//v1/directory/domains/<domain-id>/ update selective_sync_settings を使用してドメイン ペイロードを更新します。enabled を true に設定して、同期する OrgUnits のリストを指定します。新しい OrgUnits が同期され、削除された OrgUnits が NSX から削除されます。詳細については、『NSX-T Data Center API ガイド』を参照してください。

Active Directory と NSX Manager の同期が完了すると、ユーザー ID に基づいてセキュリティ グループを作成し、ID ベースのファイアウォール ルールを作成できるようになります。

注: Identity Firewall ルールを適用する場合、Active Directory を使用するすべての仮想マシンで Windows Time サービスを [有効] にする必要があります。これにより、Active Directory と仮想マシン間で日付と時刻が同期されるようになります。ユーザーの有効化や削除などの Active Directory グループ メンバーシップの変更は、ログインしているユーザーにすぐに反映されません。ユーザーに変更を反映させるには、ログオフして再度ログインする必要があります。グループ メンバーシップが変更されたときに、Active Directory 管理者がログアウトを強制的に実行することをおすすめします。これは、Active Directory の制限が原因で発生しています。

手順

  1. ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
  2. [システム] > [Identity Firewall Active Directory] > [Active Directory] に移動します。
  3. [Active Directory の追加] をクリックします。
  4. Active Directory の名前を入力します。
  5. [NetBIOS 名] および [基本識別名] を入力します。
    ドメインの netBIOS 名を取得するには、ドメインまたはドメイン コントローラに属する Windows ワークステーションのコマンド ウィンドウで nbtstat -n と入力します。NetBIOS のローカル名テーブルでは、プリフィックスが <00> でタイプがグループのエントリが NetBIOS 名です。
    Active Directory ドメインを追加するには、基本識別名(ベース DN)が必要です。ベース DN は、Active Directory ドメイン内のユーザー認証を検索するときに LDAP サーバが使用する開始点となります。たとえば、ドメイン名が corp.local の場合、Active Directory のベース DN の DN は DC=corp,DC=local になります。
  6. 必要に応じて [差分同期の間隔] を設定します。差分同期は、前回の同期イベント以降に変更されたローカル Active Directory オブジェクトを更新します。
    Active Directory に加えられた変更は、差分同期または完全同期が実行されるまで NSX Manager に表示されません。
  7. [保存] をクリックします。