Active Directory 개체는 사용자 ID 및 ID 기반 방화벽 규칙을 기반으로 보안 그룹을 생성하는 데 사용될 수 있습니다.

참고: 분산 로드 밸런서를 사용하는 환경에서는 분산 IDS(침입 감지 서비스)를 사용하도록 설정하지 마십시오. NSX는 분산 로드 밸런서에서 IDS를 사용하도록 지원하지 않습니다.

IDFW(ID기반 방화벽)에서 사용할 전체 AD(Active Directory) 도메인을 등록하거나 대규모 도메인의 일부를 동기화할 수 있습니다. 도메인이 등록되면 NSX는 IDFW에 필요한 모든 AD 데이터를 동기화합니다. 선택적 동기화는 대규모 Active Directory 도메인에 사용됩니다.

선택적 동기화를 사용하면 전체 도메인을 동기화할 필요가 없도록 조직 구성 단위를 선택적으로 지정할 수 있습니다. 선택적 동기화를 수행하는 동안 마지막 델타 동기화 이후에 생성 및 변경된 선택한 조직 구성 단위만 업데이트됩니다. 선택한 조직 구성 단위에서 이동된 그룹은 선택적 동기화 중에 업데이트되지 않습니다. 구성 최대값은 여전히 선택적 동기화를 적용합니다. 모든 그룹이 업데이트되면 삭제된 그룹이 전체 동기화에서 제거됩니다. 동기화할 조직 구성 단위를 지정하려면 Active Directory 및 이벤트 로그 스크레이핑 구성 항목을 참조하십시오.

참고: API를 사용하여 AD 도메인을 500개 이상의 OU에 연결합니다. UI는 OU가 500개 이상인 AD 도메인을 표시하는 것을 지원하지 않습니다.

API를 사용하여 시작된 후 전체 동기화를 수동으로 종료하면 동기화 통계가 올바르게 업데이트되지 않습니다.

Active Directory 및 IDFW에 대한 확장 제한은 VMware 구성 최댓값 페이지에서 찾을 수 있습니다.

참고: IDFW는 게스트 운영 체제의 보안 및 무결성에 의존합니다. 악의적인 로컬 관리자가 방화벽 규칙을 우회하기 위해 해당 ID를 스푸핑할 수 있는 여러 방법이 있습니다. 사용자 ID 정보는 게스트 VM 내부의 Guest Introspection Agent에서 제공됩니다. 보안 관리자는 각 게스트 VM에 NSX Guest Introspection 에이전트가 설치 및 실행되고 있는지 확인해야 합니다. 로그인한 사용자에게 에이전트를 제거하거나 중지할 수 있는 권한이 없어야 합니다.

프로시저

  1. 관리자 권한으로 NSX Manager에 로그인합니다.
  2. 시스템 > ID 기반 방화벽 AD로 이동합니다.
  3. 동기화할 Active Directory 옆의 3개 버튼 메뉴("")를 클릭하고 다음 중 하나를 선택합니다.
    옵션 설명
    모두 동기화 모든 데이터의 전체 동기화는 NSX의 동기화 상태에 관계없이 Active Directory에서 수행합니다.
    델타 동기화 마지막 동기화 이후에 변경된 로컬 AD 개체만 업데이트하는 델타 동기화를 수행합니다.

    모든 데이터의 전체 동기화가 수행되지 않습니다. 모든 그룹이 업데이트되면 삭제된 그룹이 전체 동기화 동안 제거됩니다.

  4. 저장을 클릭합니다.
  5. 동기화 상태 보기를 클릭하여 Active Directory의 현재 상태, 이전 동기화 상태, 동기화 상태 및 마지막 동기화 시간을 봅니다.