Active Directory 개체는 사용자 ID 및 ID 기반 방화벽 규칙을 기반으로 보안 그룹을 생성하는 데 사용될 수 있습니다.

IDFW(ID기반 방화벽)에서 사용할 전체 AD(Active Directory) 도메인을 등록하거나 대규모 도메인의 일부를 동기화할 수 있습니다. 도메인이 등록되면 NSX는 IDFW에 필요한 모든 AD 데이터를 동기화합니다. 선택적 동기화를 사용하도록 설정하려면 PUT/api//v1/directory/domains/<domain-id>/을 사용하여 도메인 페이로드를 업데이트하고, enabled를 true로 설정하여 selective_sync_settings를 업데이트하고, 동기화할 OrgUnit 목록을 제공합니다. 새 OrgUnit가 동기화되고 삭제된 OrgUnit가 NSX에서 삭제됩니다. 자세한 내용은 "NSX API 가이드" 를 참조하십시오.

API를 사용하여 시작된 후 전체 동기화를 수동으로 종료하면 동기화 통계가 올바르게 업데이트되지 않습니다.

참고: IDFW는 게스트 운영 체제의 보안 및 무결성에 의존합니다. 악의적인 로컬 관리자가 방화벽 규칙을 우회하기 위해 해당 ID를 스푸핑할 수 있는 여러 방법이 있습니다. 사용자 ID 정보는 게스트 VM 내부의 Guest Introspection Agent에서 제공됩니다. 보안 관리자는 각 게스트 VM에 NSX Guest Introspection 에이전트가 설치 및 실행되고 있는지 확인해야 합니다. 로그인한 사용자에게 에이전트를 제거하거나 중지할 수 있는 권한이 없어야 합니다.

프로시저

  1. 관리자 권한으로 NSX Manager에 로그인합니다.
  2. 시스템 > ID 기반 방화벽 AD로 이동합니다.
  3. 동기화할 Active Directory 옆의 3개 버튼 메뉴를 클릭하고 다음 중 하나를 선택합니다.
    메뉴 항목 설명
    델타 동기화 마지막 동기화 이후에 변경된 로컬 AD 개체만 업데이트하는 델타 동기화를 수행합니다.
    모두 동기화 모든 AD 개체의 로컬 상태를 업데이트하는 전체 동기화를 수행합니다.
  4. 동기화 상태 보기를 클릭하여 Active Directory의 현재 상태, 이전 동기화 상태, 동기화 상태 및 마지막 동기화 시간을 봅니다.