Active Directory オブジェクトを使用すると、ユーザー ID や ID ベースのファイアウォール ルールに基づいてセキュリティ グループを作成できます。

注: 分散ロード バランサを使用している環境では、分散侵入検知サービス (IDS) を有効にしないでください。 NSX は、分散ロード バランサでの IDS の使用をサポートしていません。

Active Directory (AD) ドメイン全体を IDFW (Identity Firewall) で使用するように登録することも、大規模なドメインのサブセットを同期することもできます。ドメインが登録されると、NSX は、IDFW が必要とするすべての Active Directory データを同期します。大規模な Active Directory ドメインでは選択同期が使用されます。

選択同期では部門名を選択できるため、ドメイン全体を同期する必要はありません。選択同期では、最後の差分同期以降に作成され、変更されている部門名のみが選択され、更新されます。選択された部門名から移動したグループは、選択同期で更新されません。構成の上限は、選択同期に引き続き適用されます。すべてのグループが更新されると、削除されたグループは完全同期で削除されます。同期する部門名を指定するには、Active Directory とイベント ログ スクレイピングの構成を参照してください。

注: 500 個を超える OU がある Active Directory ドメインに接続するには、API を使用します。ユーザー インターフェイスでは、500 個を超える OU を含む Active Directory ドメインは表示されません。

開始後に API を使用して完全同期を手動で終了すると、同期統計が正しく更新されません。

Active Directory と IDFW のスケール制限については、VMware Configuration Maximumsページを参照してください。

注: IDFW は、ゲスト OS のセキュリティと整合性に依存します。悪意のあるローカル管理者がファイアウォール ルールを回避するために ID を偽装する方法は 1 つではありません。ユーザー ID 情報は、ゲスト仮想マシン内のゲスト イントロスペクション エージェントによって提供されます。セキュリティ管理者は、NSX ゲスト イントロスペクション エージェントが各ゲスト仮想マシンにインストールされ、実行されていることを確認する必要があります。ログイン ユーザーには、エージェントの削除または停止を行う権限を付与してはなりません。

手順

  1. 管理者権限で NSX Manager にログインします。
  2. [システム] > [Identity Firewall の Active Directory] に移動します。
  3. 同期する Active Directory の横にある 3 つのボタンのメニュー ("") をクリックして、次のいずれかを選択します。
    オプション 説明
    すべて同期 NSX での同期状態に関係なく、すべてのデータの完全同期は Active Directory から実行されます。
    差分の同期 最後の同期以降に変更されたローカル Active Directory オブジェクトが更新される差分同期を実行します。

    すべてのデータの完全同期は実行されません。すべてのグループが更新されると、削除されたグループはすべて同期の実行中に削除されます。

  4. [保存] をクリックします。
  5. [同期状態の表示] をクリックして、Active Directory の現在の状態、以前の同期状態、同期の状態、および最終同期時刻を表示します。