IDFW はユーザー ID に基づいてファイアウォールを許可することにより、従来のファイアウォールを強化します。たとえば、管理者は単一のファイアウォール ポリシーを使用して、カスタマー サポートのスタッフに人事データベースへのアクセスを許可または禁止することができます。
ID ベースのファイアウォール ルールは、Active Directory (AD) グループのメンバーシップによって決定されます。Identity Firewall でサポートされる構成 を参照してください。
注: Identity Firewall ルールでは、SMB プロトコルはサポートされません。IDFW ルールに基づいて CIFS/SMB トラフィックをフィルタリングすることはできません。このトラフィックは、分散ファイアウォール ルールを使用して保護する必要があります。
IDFW は、分散ファイアウォール ルールでのみ、送信元でユーザー ID を処理します。ID ベースのグループは、DFW ルールの宛先として使用できません。
注: Identity Firewall ルールを適用する場合、Active Directory を使用するすべての仮想マシンで Windows Time サービスを
[有効] にする必要があります。これにより、Active Directory と仮想マシン間で日付と時刻が同期されるようになります。ユーザーの有効化や削除などの Active Directory グループ メンバーシップの変更は、ログインしているユーザーにすぐに反映されません。ユーザーに変更を反映させるには、ログオフして再度ログインする必要があります。グループ メンバーシップが変更されたときに、Active Directory 管理者がログアウトを強制的に実行することをおすすめします。これは、Active Directory の制限が原因で発生しています。
前提条件
仮想マシンで Windows 自動ログインが有効になっている場合は、[コンピューターの起動およびログオンで常にネットワークを待つ] を有効にします。
の順に移動して、サポートされている IDFW 構成については、Identity Firewall でサポートされる構成を参照してください。
手順
- NSX ファイル イントロスペクション ドライバと NSX ネットワーク イントロスペクション ドライバを有効にします。VMware Tools の完全インストールを行うと、これらがデフォルトで追加されます。
- クラスタまたはスタンドアローン ホストで IDFW を有効にします(Identity Firewall の有効化)。
- Active Directory ドメインを構成します(Active Directory の追加)。
- Active Directory 同期操作を構成します(Active Directory の同期)。
- Active Directory グループ メンバーを含むセキュリティ グループ (SG) を作成します(グループの追加)。
- Active Directory グループ メンバーを含む SG を分散ファイアウォール ルールに割り当てます(分散ファイアウォールの追加)。