Active Directory 및 이벤트 로그 스크레이핑 구성

Active Directory는 사용자 기반 ID 방화벽 규칙을 생성하는 데 사용됩니다.

Windows 2008은 Active Directory 서버 또는 RDSH 서버 OS로 지원되지 않습니다.

하나 이상의 Windows 도메인을 NSX Manager에 등록할 수 있습니다. NSX Manager는 등록된 각 도메인에서 그룹 및 사용자 정보와 서로 간의 관계를 가져옵니다. 또한 NSX Manager는 AD(Active Directory) 자격 증명을 검색합니다.

Active Directory가 NSX Manager와 동기화되면 사용자 ID를 기준으로 보안 그룹을 생성하고 ID 기반 방화벽 규칙을 생성할 수 있습니다.

Active Directory, 이벤트 로그 스크래핑 및 IDFW에 대한 확장 제한은 VMware 구성 최댓값 페이지에서 찾을 수 있습니다.

참고: ID 방화벽 규칙 적용의 경우 Active Directory를 사용하는 모든 VM에 대해 Windows 시간 서비스를 설정해야 합니다. 이렇게 하면 Active Directory와 VM 간에 날짜와 시간이 동기화됩니다. 사용자를 사용하도록 설정하거나 삭제하는 경우를 비롯한 AD 그룹 멤버 자격 변경 시 로그인한 사용자에게 즉시 영향을 주지 않습니다. 변경 사항을 적용하려면 로그아웃했다가 다시 로그인해야 합니다. 그룹 멤버 자격이 수정된 경우 AD 관리자가 강제로 로그아웃해야 합니다. 이 동작은 Active Directory의 제한 사항입니다.

사전 요구 사항

이벤트 로그 스크래핑을 사용하는 경우 로그 스크래핑을 사용할 모든 디바이스에서 NTP가 올바르게 구성되어 있는지 확인하십시오. 자세한 내용은 NSX Manager, vIDM 및 관련 구성 요소 간의 시간 동기화 항목을 참조하십시오.

도메인 계정에는 도메인 트리의 모든 개체에 대한 Active Directory 읽기 권한이 있어야 합니다. 이벤트 로그 판독기 계정에는 보안 이벤트 로그에 대한 읽기 사용 권한이 있어야 합니다. 이벤트 로그 판독기에 대해 Windows 보안 로그 액세스 사용 항목을 참조하십시오.

프로시저

관리자 권한으로 NSX Manager에 로그인합니다.
시스템 > ID 기반 방화벽 AD로 이동합니다.
Active Directory 추가를 클릭합니다.
Active Directory의 이름을 입력합니다.
NetBios 이름 및 기본 고유 이름을 입력합니다.
도메인에 대한 netBIOS 이름을 검색하려면 도메인에 포함되거나 도메인 컨트롤러에 있는 Windows 워크스테이션의 명령 창에서 nbtstat -n을 입력합니다. NetBIOS 로컬 이름 테이블에서 <00> 접두사가 있고 유형이 그룹인 항목이 NetBIOS 이름입니다.

Active Directory 도메인을 추가하려면 기본 DN(기본 고유 이름)이 필요합니다. 기본 DN은 LDAP 서버가 Active Directory 도메인 내에서 사용자 인증을 검색할 때 사용하는 시작점입니다. 예를 들어, 도메인 이름이 corp.local인 경우, Active Directory의 기본 DN은 "DC=corp,DC=local"입니다.
필요한 경우 델타 동기화 간격을 설정합니다. 델타 동기화는 마지막 동기화 이벤트 이후에 변경된 로컬 AD 개체만 업데이트합니다.
Active Directory에서 변경한 사항은 델타 또는 전체 동기화가 수행될 때까지 NSX Manager에 표시되지 않습니다.
LDAP 서버를 설정합니다. 자세한 내용은 LDAP 서버 추가 항목을 참조하십시오.
(선택 사항) 이벤트 로그 서버를 설정합니다. 호스트 IP 또는 FQDN, 사용자 이름 및 암호를 입력한 다음, 적용을 클릭합니다.

동기화할 조직 단위 옆에 있는 모든 조직 단위 및 도메인 동기화 또는 동기화할 조직 단위 선택를 클릭합니다.

선택한 OrgUnits에서 이동된 그룹은 선택적 동기화 중에 업데이트되지 않습니다. 모든 그룹이 업데이트되면 삭제된 그룹이 전체 동기화에서 제거됩니다.

옵션	설명
모든 조직 구성 단위 및 도메인 동기화	모든 조직 구성 단위의 전체 동기화가 수행됩니다.
동기화할 조직 단위 선택	조직 구성 단위를 개별적으로 선택합니다. 상위 항목을 선택하면 해당 항목 내부의 하위 단위가 자동으로 선택됩니다. 상위 조직 구성 단위 상자를 선택하여 모든 조직 구성 단위를 선택한 다음, 동기화에 포함하지 않을 특정 단위를 선택 취소할 수도 있습니다. 선택적 동기화를 수행하는 동안 마지막 델타 동기화 이후에 생성 및 변경된 선택한 조직 구성 단위만 업데이트됩니다. 사용자와 그룹이 서로 다른 조직 구성 단위에 있는 경우 사용자가 포함된 조직 구성 단위를 선택해야 합니다.

옵션

설명

모든 조직 구성 단위 및 도메인 동기화

모든 조직 구성 단위의 전체 동기화가 수행됩니다.

동기화할 조직 단위 선택

조직 구성 단위를 개별적으로 선택합니다. 상위 항목을 선택하면 해당 항목 내부의 하위 단위가 자동으로 선택됩니다. 상위 조직 구성 단위 상자를 선택하여 모든 조직 구성 단위를 선택한 다음, 동기화에 포함하지 않을 특정 단위를 선택 취소할 수도 있습니다. 선택적 동기화를 수행하는 동안 마지막 델타 동기화 이후에 생성 및 변경된 선택한 조직 구성 단위만 업데이트됩니다. 사용자와 그룹이 서로 다른 조직 구성 단위에 있는 경우 사용자가 포함된 조직 구성 단위를 선택해야 합니다.

저장을 클릭합니다.
읽기 전용 모드로 Active Directory 화면이 나타납니다.
Active Directory를 편집하려면 다음을 수행합니다.
1. Active Directory 옆에 있는 3점 메뉴()를 클릭하고 편집을 클릭합니다.
2. 이제 두 가지 작업인 델타 동기화 또는 모두 동기화를 수행할 수 있습니다. 자세한 내용은 Active Directory 동기화 항목을 참조하십시오.