O Cloud Assembly oferece suporte para a integração com servidores Active Directory, para permitir a criação imediata de contas de computador em uma unidade organizacional (OU) especificada em um servidor Active Directory antes do provisionamento de uma máquina virtual. O Active Directory oferece suporte a uma conexão LDAP com o servidor Active Directory.
Uma política do Active Directory associada a um projeto é aplicada a todas as máquinas virtuais provisionadas dentro do escopo desse projeto. Os usuários podem especificar uma ou mais tags para aplicar seletivamente a política às máquinas virtuais provisionadas para as zonas de nuvem com as tags de capacidade correspondentes.
WORKSTATION_TRUST_ACCOUNT 0x1000 PASSWD_NOTREQD (No password is required) 0x0020
Para implantações locais, a integração do Active Directory permite configurar um recurso de verificação de integridade que mostra o status da integração e a integração do ABX subjacente da qual ela depende, incluindo o proxy de nuvem de extensibilidade necessário. Antes de aplicar uma política do Active Directory, o Cloud Assembly verifica o status das integrações subjacentes. Se a integração estiver íntegra, o Cloud Assembly criará os objetos de computador implantados no Active Directory especificado. Se a integração não estiver íntegra, a operação de implantação ignorará a fase do Active Directory durante o provisionamento.
Pré-requisitos
- A integração do Active Directory requer uma conexão LDAP com o servidor Active Directory.
- Se você estiver configurando uma integração com o Active Directory na nuvem, deverá ter uma conta do Microsoft Azure ou do Amazon Web Services.
- Você deve ter um projeto configurado com zonas de nuvem apropriadas e mapeamentos de imagem e tipos para usar com a integração do Active Directory.
- A OU desejada no seu Active Directory deve ser pré-criada antes de você associar a integração do Active Directory a um projeto.
- O usuário configurado para a integração do Active Directory deve ter permissões para criar/excluir/pesquisar objetos de computador na OU configurada.
Procedimento
Resultados
Agora, é possível associar o projeto com a integração do Active Directory a um modelo de nuvem. Quando uma máquina é provisionada usando esse modelo de nuvem, ela é previamente preparada no Active Directory e na unidade organizacional especificados.
Inicialmente, as integrações do Active Directory são implantadas em uma UO padrão com poucas restrições de usuário. A UO é definida por padrão quando você mapeia uma integração do Active Directory para um projeto. Você pode adicionar uma propriedade chamada FinalRelativeDN
a blueprints para alterar a UO de implantações do Active Directory. Essa propriedade permite que você especifique a UO a ser usada com uma implantação do Active Directory.
formatVersion: 1 inputs: {} resources: Cloud_vSphere_Machine_1: type: Cloud.vSphere.Machine properties: image: CenOS8 flavor: tiny activeDirectory: finalRelativeDN: ou=test securityGroup: TestSecurityGroup
Conforme mostrado no exemplo de YAML anterior, os usuários podem adicionar uma propriedade a uma implantação de integração do Active Directory que adiciona uma conta de computador ao grupo de segurança, para que sejam atribuídas as permissões apropriadas para acessar o recurso compartilhado em uma rede. A máquina virtual do Active Directory é inicialmente implantada em uma UO fixa. Porém, quando a máquina estiver pronta para ser liberada, ela será movida para uma UO diferente com a política apropriada, conforme aplicável aos usuários.
Se uma conta de computador for movida para uma UO diferente após a implantação, o Cloud Assembly tentará excluir as contas na UO inicial. A exclusão de contas de computador apenas será bem-sucedida no caso de máquinas virtuais movidas para uma UO diferente no mesmo domínio.
Você também pode implementar uma verificação de integridade com base em tags para integrações do Active Directory locais, da seguinte maneira.
- Crie uma integração do Active Directory conforme descrito nas etapas anteriores.
- Clique na guia Projeto para adicionar um projeto à integração do Active Directory.
- Selecione um nome de projeto e um DN relativo na caixa de diálogo Adicionar Projetos. O DN relativo deve existir no DN base especificado.
Há dois comutadores nesta caixa de diálogo que permitem que você controle a configuração do Active Directory dos modelos de nuvem. Ambos os comutadores estão desligados por padrão.
- Substituir – Esse comutador permite que você substitua as propriedades do Active Directory, especificamente o DN relativo nos modelos de nuvem. Quando ligado, você pode alterar a UO especificada na propriedade
relativeDN
no modelo de nuvem. Quando provisionada, a máquina será adicionada à UO especificada na propriedaderelativeDN
no modelo de nuvem. O exemplo a seguir mostra a hierarquia de modelo de nuvem na qual essa propriedade aparece.activeDirectory: relativeDN: OU=ad_integration_machine_override
- Ignorar - Esse comutador permite ignorar a configuração do Active Directory para o projeto. Quando ligado, adiciona uma propriedade ao modelo de nuvem chamada
ignoreActiveDirectory
à máquina virtual associada. Quando essa propriedade é definida como verdadeira, significa que a máquina não é adicionada ao Active Directory quando implantada.
- Substituir – Esse comutador permite que você substitua as propriedades do Active Directory, especificamente o DN relativo nos modelos de nuvem. Quando ligado, você pode alterar a UO especificada na propriedade
- Adicione as tags apropriadas. Essas tags são aplicáveis à zona de nuvem à qual a política do Active Directory pode ser aplicada.
- Clique em Salvar.
O status da integração do Active Directory é exibido para cada integração na página Cloud Assembly.
noÉ possível associar o projeto à integração do Active Directory com um modelo de nuvem. Quando uma máquina for provisionada usando esse modelo, ela será pré-configurada no Active Directory e UO especificados.