O Cloud Assembly oferece suporte para a integração com servidores Active Directory, para permitir a criação imediata de contas de computador em uma unidade organizacional (OU) especificada em um servidor Active Directory antes do provisionamento de uma máquina virtual. O Active Directory oferece suporte a uma conexão LDAP com o servidor Active Directory.

Uma política do Active Directory associada a um projeto é aplicada a todas as máquinas virtuais provisionadas dentro do escopo desse projeto. Os usuários podem especificar uma ou mais tags para aplicar seletivamente a política às máquinas virtuais provisionadas para as zonas de nuvem com as tags de capacidade correspondentes.

Quando uma integração do Active Directory é criada, algumas propriedades são definidas durante a criação do objeto de computador no Active Directory e não podem ser alteradas. Em particular, as seguintes propriedades padrão não podem ser alteradas: 
WORKSTATION_TRUST_ACCOUNT	0x1000
PASSWD_NOTREQD (No password is required)	0x0020

Para implantações locais, a integração do Active Directory permite configurar um recurso de verificação de integridade que mostra o status da integração e a integração do ABX subjacente da qual ela depende, incluindo o proxy de nuvem de extensibilidade necessário. Antes de aplicar uma política do Active Directory, o Cloud Assembly verifica o status das integrações subjacentes. Se a integração estiver íntegra, o Cloud Assembly criará os objetos de computador implantados no Active Directory especificado. Se a integração não estiver íntegra, a operação de implantação ignorará a fase do Active Directory durante o provisionamento.

Pré-requisitos

  • A integração do Active Directory requer uma conexão LDAP com o servidor Active Directory.
  • Se você estiver configurando uma integração do Active Directory com o vCenter no local, deverá configurar uma integração ABX com um proxy de nuvem de extensibilidade. Selecione Extensibilidade > Atividade > Integrações e escolha Ações de Extensibilidade no Local.
  • Se você estiver configurando uma integração com o Active Directory na nuvem, deverá ter uma conta do Microsoft Azure ou do Amazon Web Services.
  • Você deve ter um projeto configurado com zonas de nuvem apropriadas e mapeamentos de imagem e tipos para usar com a integração do Active Directory.
  • A OU desejada no seu Active Directory deve ser pré-criada antes de você associar a integração do Active Directory a um projeto.
  • O usuário configurado para a integração do Active Directory deve ter permissões para criar/excluir/pesquisar objetos de computador na OU configurada.

Procedimento

  1. Selecione Infraestrutura > Conexões > Integrações e depois Nova Integração.
  2. Clique em Active Directory.
  3. Na guia Resumo, insira o host LDAP apropriado e os nomes de ambientes.
    O host LDAP especificado é usado para validar a integração do Active Directory e também será usado para implantações subsequentes se nenhum host alternativo for especificado e chamado devido a erros ou indisponibilidade.
  4. Insira o nome e a senha do servidor LDAP.
  5. Insira o DN Base apropriado que especifica a raiz dos recursos do Active Directory desejados.
    Observação: É possível especificar apenas um DN por integração do Active Directory.
  6. Clique em Validar para garantir que a integração seja funcional.
  7. Insira um nome e uma descrição dessa integração.
  8. Clique em Salvar.
  9. Clique na guia Projeto para adicionar um projeto à integração do Active Directory.
    Na caixa de diálogo Adicionar Projetos, você deve selecionar um nome de projeto e um DN relativo, que é um DN existente no DN base especificado na guia Resumo.
  10. Na seleção Opções Estendidas, forneça uma lista separada por vírgulas de Hosts Alternativos que serão usados se o servidor selecionado inicialmente estiver indisponível durante a implantação. O servidor primário é sempre usado para validação inicial da integração.
    Observação: Se o formato do host principal for LDAP, o LDAPS não terá suporte para hosts alternativos.
  11. Insira o tempo em segundos para aguardar até que o servidor inicial responda antes de tentar um servidor alternativo na caixa Tempo Limite da Conexão.
  12. Clique em Salvar.

Resultados

Agora, é possível associar o projeto com a integração do Active Directory a um modelo de nuvem. Quando uma máquina é provisionada usando esse modelo de nuvem, ela é previamente preparada no Active Directory e na unidade organizacional especificados.

Inicialmente, as integrações do Active Directory são implantadas em uma UO padrão com poucas restrições de usuário. A UO é definida por padrão quando você mapeia uma integração do Active Directory para um projeto. Você pode adicionar uma propriedade chamada FinalRelativeDN a blueprints para alterar a UO de implantações do Active Directory. Essa propriedade permite que você especifique a UO a ser usada com uma implantação do Active Directory.

formatVersion: 1
inputs: {}
resources:
  Cloud_vSphere_Machine_1:
    type: Cloud.vSphere.Machine
    properties:
      image: CenOS8
      flavor: tiny
      activeDirectory:
        finalRelativeDN: ou=test
        securityGroup: TestSecurityGroup

Conforme mostrado no exemplo de YAML anterior, os usuários podem adicionar uma propriedade a uma implantação de integração do Active Directory que adiciona uma conta de computador ao grupo de segurança, para que sejam atribuídas as permissões apropriadas para acessar o recurso compartilhado em uma rede. A máquina virtual do Active Directory é inicialmente implantada em uma UO fixa. Porém, quando a máquina estiver pronta para ser liberada, ela será movida para uma UO diferente com a política apropriada, conforme aplicável aos usuários.

Se uma conta de computador for movida para uma UO diferente após a implantação, o Cloud Assembly tentará excluir as contas na UO inicial. A exclusão de contas de computador apenas será bem-sucedida no caso de máquinas virtuais movidas para uma UO diferente no mesmo domínio.

Você também pode implementar uma verificação de integridade com base em tags para integrações do Active Directory locais, da seguinte maneira.

  1. Crie uma integração do Active Directory conforme descrito nas etapas anteriores.
  2. Clique na guia Projeto para adicionar um projeto à integração do Active Directory.
  3. Selecione um nome de projeto e um DN relativo na caixa de diálogo Adicionar Projetos. O DN relativo deve existir no DN base especificado.

    Há dois comutadores nesta caixa de diálogo que permitem que você controle a configuração do Active Directory dos modelos de nuvem. Ambos os comutadores estão desligados por padrão.

    • Substituir – Esse comutador permite que você substitua as propriedades do Active Directory, especificamente o DN relativo nos modelos de nuvem. Quando ligado, você pode alterar a UO especificada na propriedade relativeDN no modelo de nuvem. Quando provisionada, a máquina será adicionada à UO especificada na propriedade relativeDN no modelo de nuvem. O exemplo a seguir mostra a hierarquia de modelo de nuvem na qual essa propriedade aparece.
      activeDirectory:
     relativeDN: OU=ad_integration_machine_override
    • Ignorar - Esse comutador permite ignorar a configuração do Active Directory para o projeto. Quando ligado, adiciona uma propriedade ao modelo de nuvem chamada ignoreActiveDirectory à máquina virtual associada. Quando essa propriedade é definida como verdadeira, significa que a máquina não é adicionada ao Active Directory quando implantada.
  4. Adicione as tags apropriadas. Essas tags são aplicáveis à zona de nuvem à qual a política do Active Directory pode ser aplicada.
  5. Clique em Salvar.

O status da integração do Active Directory é exibido para cada integração na página Infraestrutura > Conexões > Integrações no Cloud Assembly.

É possível associar o projeto à integração do Active Directory com um modelo de nuvem. Quando uma máquina for provisionada usando esse modelo, ela será pré-configurada no Active Directory e UO especificados.