Active Directory オブジェクトを使用すると、ユーザー ID や ID ベースのファイアウォール ルールに基づいてセキュリティ グループを作成できます。

Active Directory (AD) ドメイン全体を IDFW (Identity Firewall) で使用するように登録することも、大規模なドメインのサブセットを同期することもできます。ドメインが登録されると、NSX は、IDFW が必要とするすべての Active Directory データを同期します。選択同期を有効にするには、PUT/api//v1/directory/domains/<domain-id>/ update selective_sync_settings を使用してドメイン ペイロードを更新します。enabled を true に設定して、同期する部門名のリストを指定します。新しい部門名が同期され、削除された部門名が NSX から削除されます。詳細については、『NSX API ガイド』を参照してください。

開始後に API を使用して完全同期を手動で終了すると、同期統計が正しく更新されません。

注: IDFW は、ゲスト OS のセキュリティと整合性に依存します。悪意のあるローカル管理者がファイアウォール ルールを回避するために ID を偽装する方法は 1 つではありません。ユーザー ID 情報は、ゲスト仮想マシン内のゲスト イントロスペクション エージェントによって提供されます。セキュリティ管理者は、NSX ゲスト イントロスペクション エージェントが各ゲスト仮想マシンにインストールされ、実行されていることを確認する必要があります。ログイン ユーザーには、エージェントの削除または停止を行う権限を付与してはなりません。

手順

  1. 管理者権限で NSX Manager にログインします。
  2. [システム] > [Identity Firewall の Active Directory] に移動します。
  3. 同期する Active Directory の横にある 3 つのボタンのメニュー アイコンをクリックして、次のいずれかを選択します。
    メニュー項目 説明
    差分の同期 最後の同期以降に変更されたローカル Active Directory オブジェクトが更新される差分同期を実行します。
    すべて同期 すべての Active Directory オブジェクトのローカル状態が更新される完全同期を実行します。
  4. [同期状態の表示] をクリックして、Active Directory の現在の状態、以前の同期状態、同期の状態、および最終同期時刻を表示します。