SH 环境尤为重要,可实现精细化访问控制
🧩什么时候适合用
- 多个用户登录到各自的虚拟桌面,策略需要根据用户身份动态下发。
- 希望能用AD 安全组来管理策略。
IDFW逻辑思维图
身份防火墙AD源添加
打开NSX > 系统 > 身份防火墙AD > 添加 Active Directory
以域控域名 songxwn.local示例,域控安装可参考:songxwn.com/AD-DS-insta…
- 名称填写域控服务器的域名全程,示例 songxwn.local
- NetBIOS名称填大写,例如 SONGXWN
- 基本标识符,示例DC=songxwn,DC=local
- 同步间隔,建议30分钟左右。
添加LDAP服务器 - 可添加多个域控制器备用
在添加AD选项里面选择LDAP服务器,点击添加LDAP服务器。
- 主机名/IP,填写NSX可连接到的域控服务器
- 协议写LDAP,除非已经配置了LDAPS
- 用户名/密码,填写可以读取所有组织单位、安全组、用户的账号即可。
状态检查 - 必须都是UP
分布式防火墙-身份防火墙
打开NSX > 安全 > 分布式防火墙 > 设置 > 身份防火墙 > 开启分布式防火墙服务和为主机集群开启身份防火墙。
用户会话识别来源
身份防火墙AD源 - 事件日志服务器
打开NSX > 安全 > 常规设置 > 身份防火墙时间日志源 > AD日志采集器
打开NSX > 系统 > 身份防火墙AD > 事件日志服务器
VMware Tools 安装NSX组件 - 客户机侦测身份识别
安装VMware Tools的之后选择自定义,勾选NSX相关组件。
PS:客户机侦测身份识别能识别一个虚拟机上的多个用户。
查看IDFW用户实时会话
PS:当两种源都有的时候,客户端侦测更优先。
分布式防火墙策略使用
防火墙策略组 - 关联AD组
打开NSX > 清单 > 组 > 添加组 > 示例添加AD-NOC,关联域控的noc安全组。
分布式防火墙策略 - 用AD组作为源
示例如下,注意AD组只能作为源使用。
运维技术交流群
发送邮件到 ➡️ me@songxwn.com
或者关注WX公众号:网工格物
