Active Directory 用於建立以使用者為基礎的身分識別防火牆規則。

不支援以 Windows 2008 作為 Active Directory 伺服器或 RDSH 伺服器作業系統。

您可以向 NSX Manager 登錄一或多個 Windows 網域。NSX Manager 會從登錄的每個網域取得群組和使用者資訊,以及它們之間的關聯性。NSX Manager 還會擷取 Active Directory (AD) 認證。

在 Active Directory 同步至 NSX Manager 後,您即可根據使用者的身分識別建立安全群組,以及建立以身分識別為基礎的防火牆規則。

有關 Active Directory、事件記錄收集和 IDFW 的規模限制,請參閱 VMware 組態上限頁面。

備註: 在強制執行身分識別防火牆規則時,所有使用 Active Directory 的虛擬機器均應 開啟 Windows 時間服務。這可確保 Active Directory 與虛擬機器之間的日期和時間能夠保持同步。對於已登入的使用者,AD 群組成員資格變更 (包括啟用和刪除使用者) 並不會立即生效。若要使變更生效,使用者必須登出後再重新登入。修改群組成員資格後,AD 管理員應強制登出。此行為是一個 Active Directory 限制。

必要條件

如果使用事件記錄收集,請確定在要使用記錄收集的所有裝置上都正確設定了 NTP,如需詳細資訊,請參閱 NSX Manager、vIDM 和相關元件之間的時間同步

網域帳戶必須對網域樹狀結構中的所有物件具有 Active Directory 讀取權限。事件記錄讀取者帳戶必須具有安全性事件記錄的讀取權限。請參閱為事件記錄讀取者啟用 Windows 安全性記錄存取權

程序

  1. 使用 admin 權限來登入 NSX Manager
  2. 導覽至系統 > 身分識別防火牆 AD
  3. 按一下新增 Active Directory
  4. 輸入 Active Directory 的名稱。
  5. 輸入 NetBIOS 名稱基本辨別名稱
    若要擷取網域的 NetBIOS 名稱,請在屬於網域的 Windows Workstation 上或網域控制站上,在命令視窗中輸入 nbtstat -n。在 NetBIOS 本機名稱資料表中,前置詞為 <00> 且類型為 [群組] 的項目是 NetBIOS 名稱。
    需要基本辨別名稱 (基本 DN) 才能新增 Active Directory 網域。基本 DN 是在 Active Directory 網域內搜尋使用者驗證時,LDAP 伺服器所使用的起點。例如,如果您的網域名稱為 corp.local,則 Active Directory 基本 DN 的 DN 將會是「DC=corp,DC=local」。
  6. 設定差異同步間隔 (如有必要)。差異同步會更新自上次同步事件後發生變更的本機 AD 物件。
    在 Active Directory 中進行的任何變更不會出現在 NSX Manager 上,直到執行差異或完整同步後。
  7. 如有必要,請設定 LDAP 伺服器。如需詳細資訊,請參閱新增 LDAP 伺服器
  8. 設定事件記錄伺服器。輸入主機 IP 或 FQDN、使用者名稱和密碼,然後按一下套用
  9. 按一下問號以選取要同步的組織單位,且 AD 的名稱位於畫面頂端。
    在進行選擇性同步期間,不會更新移出所選 OrgUnits 的群組。在更新所有群組時,已刪除的群組會在完整同步中移除。
    選項 說明
    同步所有組織單位和網域 執行所有組織單位的完整同步。
    選取要同步的組織單位 個別選取組織單位。如果選取了父系單位,則會自動選取該父系內的子系單位。您還可以選取頂端的組織單位方塊,以選取所有組織單位,然後取消選取您不想同步的特定單位。在進行選擇性同步期間,僅會更新自上次差異同步以來已建立和變更的所選組織單位。請注意,如果使用者和群組位於不同的組織單位,則必須選取包含使用者的組織單位。
  10. 按一下儲存
  11. 將以唯讀模式顯示 Active Directory 畫面。
  12. 若要編輯 Active Directory:
    1. 按一下 Active Directory 旁的三個點功能表 (""),然後按一下編輯