Active Directory 物件可用來建立以使用者身分識別為基礎的安全群組,以及以身分識別為基礎的防火牆規則。

您可以登錄整個 AD (Active Directory) 網域以供 IDFW (身分識別防火牆) 使用,也可以同步大型網域的子集。登錄網域後,NSX 會同步 IDFW 所需的所有 AD 資料。若要啟用選擇性同步,請使用 PUT/api//v1/directory/domains/<domain-id>/ 更新 selective_sync_settings,將 enabled 設為 true,並提供要同步的 OrgUnits 清單。新的 OrgUnits 將會同步,而已刪除的 OrgUnits 會從 NSX 中刪除。如需詳細資訊,請參閱NSX API 指南

如果您使用 API 來手動結束已開始進行的完整同步,則同步統計資料將不會正確更新。

備註: IDFW 需依賴客體作業系統的安全性和完整性。惡意本機管理員有多種方法可偽造其身分識別以略過防火牆規則。使用者身分識別資訊由客體虛擬機器中的 Guest Introspection Agent 所提供。安全性管理員必須確定已在每個客體虛擬機器中安裝並執行 NSX Guest Introspection Agent。已登入的使用者不應擁有移除或停止代理程式的權限。

程序

  1. 使用 admin 權限來登入 NSX Manager
  2. 導覽到 系統 > 身分識別防火牆 AD
  3. 按一下您要同步的 Active Directory 旁的三個按鈕功能表圖示,然後選取下列其中一項:
    功能表項目 說明
    同步差異 執行差異同步,其中更新了自上次同步以來發生變更的本機 AD 物件。
    全部同步 執行完整同步,其中更新了所有 AD 物件的本機狀態。
  4. 按一下檢視同步狀態以查看 Active Directory 的目前狀態、先前的同步狀態、同步狀態和上次同步時間。