Active Directory 物件可用來建立以使用者身分識別為基礎的安全群組,以及以身分識別為基礎的防火牆規則。

您可以登錄整個 AD (Active Directory) 網域以供 IDFW (身分識別防火牆) 使用,也可以同步大型網域的子集。登錄網域後,NSX 會同步 IDFW 所需的所有 AD 資料。

如果您使用 API 來手動結束已開始進行的完整同步,則同步統計資料將不會正確更新。

備註: IDFW 需依賴客體作業系統的安全性和完整性。惡意本機管理員有多種方法可偽造其身分識別以略過防火牆規則。使用者身分識別資訊由客體虛擬機器中的 Guest Introspection Agent 所提供。安全性管理員必須確定已在每個客體虛擬機器中安裝並執行 NSX Guest Introspection Agent。已登入的使用者不應擁有移除或停止代理程式的權限。

程序

  1. 從瀏覽器以管理員權限登入 NSX Manager,網址為 https://<nsx-manager-ip-address>。
  2. 導覽到 系統 > 身分識別防火牆 AD > Active Directory
  3. 按一下您要同步的 Active Directory 旁的三個按鈕功能表圖示,然後選取下列其中一項:
    功能表項目 說明
    同步差異 執行差異同步,其中更新了自上次同步以來發生變更的本機 AD 物件。
    全部同步 執行完整同步,其中更新了所有 AD 物件的本機狀態。
  4. 按一下檢視同步狀態以查看 Active Directory 的目前狀態、先前的同步狀態、同步狀態和上次同步時間。