Active Directory 用於建立以使用者為基礎的身分識別防火牆規則。

不支援以 Windows 2008 作為 Active Directory 伺服器或 RDSH 伺服器作業系統。

您可以向 NSX Manager 登錄一或多個 Windows 網域。NSX Manager 會從登錄的每個網域取得群組和使用者資訊,以及它們之間的關聯性。NSX Manager 還會擷取 Active Directory (AD) 認證。

您可以登錄整個 AD (Active Directory) 網域以供 IDFW (身分識別防火牆) 使用,也可以同步大型網域的子集。登錄網域後,NSX 會同步 IDFW 所需的所有 AD 資料。

在 Active Directory 同步至 NSX Manager 後,您即可根據使用者的身分識別建立安全群組,以及建立以身分識別為基礎的防火牆規則。

備註: 在強制執行身分識別防火牆規則時,所有使用 Active Directory 的虛擬機器均應 開啟 Windows 時間服務。這可確保 Active Directory 與虛擬機器之間的日期和時間能夠保持同步。對於已登入的使用者,AD 群組成員資格變更 (包括啟用和刪除使用者) 並不會立即生效。若要使變更生效,使用者必須登出後再重新登入。修改群組成員資格後,AD 管理員應強制登出。此行為是一個 Active Directory 限制。

程序

  1. 從瀏覽器以管理員權限登入 NSX Manager,網址為 https://<nsx-manager-ip-address>。
  2. 導覽到 系統 > 身分識別防火牆 AD > Active Directory
  3. 按一下新增 Active Directory
  4. 輸入 Active Directory 的名稱。
  5. 輸入 NetBIOS 名稱基本辨別名稱
    若要擷取網域的 NetBIOS 名稱,請在屬於網域的 Windows Workstation 上或網域控制站上,在命令視窗中輸入 nbtstat -n。在 NetBIOS 本機名稱資料表中,前置詞為 <00> 且類型為 [群組] 的項目是 NetBIOS 名稱。
    需要基本辨別名稱 (基本 DN) 才能新增 Active Directory 網域。基本 DN 是在 Active Directory 網域內搜尋使用者驗證時,LDAP 伺服器所使用的起點。例如,如果您的網域名稱為 corp.local,則 Active Directory 基本 DN 的 DN 將會是「DC=corp,DC=local」。
  6. 設定差異同步間隔 (如有必要)。差異同步會更新自上次同步事件後發生變更的本機 AD 物件。
    在 Active Directory 中進行的任何變更不會出現在 NSX Manager 上,直到執行差異或完整同步後。
  7. 按一下儲存