読者です 読者をやめる 読者になる 読者になる

tokyo-wasted’s diary

しがないインフラエンジニアが、余り役に立たない情報を載せていきます。

【VMware NSX】 Active Directoryグループを使用した分散ファイアウォール設定

 

VMware NSXActive Directory連携とは

VMware NSXでは、Active Directoryと連携することで、ADグループをそのままNSXファイアウォールに使用することができます。
これを「Identity Firewall」機能と言います(Identity Aware Firewallとも呼ばれます)。
使用例としては、VDI環境のログインユーザに応じて自動的にFWポリシーを割り当てる、といったことが出来ます。
新しくVDIが追加された場合でもNSXファイアウォール設定は変える必要がなくなりますので、運用コストを抑えることができます。
以下、設定手順です。

※ vSphere 5.5 / NSX 6.1.x の手順です(6.2.x でも手順は大きく変更ありません)

※ Guest Introspection仮想マシンは予めデプロイされている必要があります


手順1. NSXとADを連携させる

vCenter Serverへログインし [Networking & Security] をクリックします。
NSX Managerのメニューが表示されるので、いちばん下の [NSX Managers] をクリックします。

 

f:id:tokyo-wasted:20160519105321p:plain

 

 

 対象のNSX Managerを選択していくと詳細メニューが出てきますので [Manage] → [Domains] をクリックします。
以下のようなリストが表示されますので [+] をクリックしてActive Directoryサーバの登録画面を表示させます。

f:id:tokyo-wasted:20160519112149p:plain

 

ドメイン追加の画面です、ドメイン名/NetBIOS 名を入れます。

f:id:tokyo-wasted:20160519112215p:plain

 

LDAP設定が出てくるのでActive DirectoryサーバのIPや認証情報を入れます。
(※User Nameを入れているにも関わらず「ユーザ名がない」エラーが出た場合は "Use Domain Credentials" のチェックをON/OFFすると治りました)

f:id:tokyo-wasted:20160519112239p:plain

 

 次のページはデフォルトで進めます。

f:id:tokyo-wasted:20160519112311p:plain

 最後に確認ページが出てくるので Finish をクリックして完了。

 

2. Service ComposerからADグループを確認する

NSXの設定画面で、メニューから [Service Composer] を選択して、Security Groupの画面に行きましょう。
画面のアイコンをクリックして、Security Group作成ウィザードを起動します。

f:id:tokyo-wasted:20160519112433p:plain

 

適当に名前をつけます。

f:id:tokyo-wasted:20160519112446p:plain

 

[Select objects to include] で、Object Type を [Directory Group] にします。

f:id:tokyo-wasted:20160519113017p:plain

 

するとADグループがずらりと表示されますので、ここでは Group_Marketing を例として選択します。
ここで [Finish] をクリックして終了します。

f:id:tokyo-wasted:20160519113057p:plain

 

[Service Composer] > [Canvas] で見てみると、Security Groupにはメンバーがいない状態になっています。

f:id:tokyo-wasted:20160519113121p:plain

 

ADグループのユーザでログインしてみる。

 

さっそくWindowsを開いてログインしてみます。

f:id:tokyo-wasted:20160519113323p:plain

 

ログインユーザは以下の通り

f:id:tokyo-wasted:20160519113350p:plain

 

Service Composerの状態を確認

さっきは仮想マシンが含まれていませんでしたが、再度見てみると自動的に追加されているのが分かります。

f:id:tokyo-wasted:20160519113602p:plain

 

あとはこんな感じ(↓)で分散ファイウォールの設定を行い、Src/Dst のオブジェクトとして Security Group を使用すればOKです。

f:id:tokyo-wasted:20160519113642p:plain

 

お疲れ様でした。