Active Directory オブジェクトを使用すると、ユーザー ID や ID ベースのファイアウォール ルールに基づいてセキュリティ グループを作成できます。

注: 分散ロード バランサを使用している環境では、分散侵入検知サービス (IDS) を有効にしないでください。 NSX-T Data Center は、分散ロード バランサでの IDS の使用をサポートしていません。

選択同期を有効にするには、選択同期が有効になっているドメインを作成または更新する API と、選択した部門名 (OU) のリストを使用します。選択同期が有効になっている場合、NSX-T は、選択され部門名内の Active Directory データのみを同期します。選択的な差分同期では、選択された OU 内にあり、前回の同期以降に作成または変更された Acitve Directory データのみが更新されます。選択された部門名からディレクトリ グループが削除された場合、このグループは選択的な差分同期で更新されません。これらのグループは、すべてのディレクトリ グループが更新された後に完全同期で更新されます。詳細については、『NSX-T Data Center API ガイド』を参照してください。

注: 500 個を超える OU がある Active Directory ドメインに接続するには、API を使用します。ユーザー インターフェイスでは、500 個を超える OU を含む Active Directory ドメインは表示されません。

開始後に API を使用して完全同期を手動で終了すると、同期統計が正しく更新されません。

注: IDFW は、ゲスト OS のセキュリティと整合性に依存します。悪意のあるローカル管理者がファイアウォール ルールを回避するために ID を偽装する方法は 1 つではありません。ユーザー ID 情報は、ゲスト仮想マシン内のゲスト イントロスペクション エージェントによって提供されます。セキュリティ管理者は、NSX ゲスト イントロスペクション エージェントが各ゲスト仮想マシンにインストールされ、実行されていることを確認する必要があります。ログイン ユーザーには、エージェントの削除または停止を行う権限を付与してはなりません。

手順

  1. ブラウザから、NSX Manager (https://<nsx-manager-ip-address>) に管理者権限でログインします。
  2. [システム] > [Identity Firewall Active Directory] > [Active Directory] に移動します。
  3. 同期する Active Directory の横にある 3 つのボタンのメニュー アイコンをクリックして、次のいずれかを選択します。
    メニュー項目 説明
    差分の同期 最後の同期以降に変更されたローカル Active Directory オブジェクトが更新される差分同期を実行します。
    すべて同期 すべての Active Directory オブジェクトのローカル状態が更新される完全同期を実行します。
  4. [同期状態の表示] をクリックして、Active Directory の現在の状態、以前の同期状態、同期の状態、および最終同期時刻を表示します。