Cloud Assembly admite la integración con servidores de Active Directory para ofrecer la creación lista para usar de cuentas de equipo en una unidad organizativa (Organizational Unit, OU) específica dentro de un servidor de Active Directory antes de aprovisionar una máquina virtual. Active Directory admite una conexión LDAP con el servidor de Active Directory.

Una directiva de Active Directory que está asociada con un proyecto se aplica a todas las máquinas virtuales aprovisionadas dentro del ámbito de ese proyecto. Los usuarios pueden especificar una o varias etiquetas para aplicar de forma selectiva la directiva a las máquinas virtuales que se aprovisionan en las zonas de nube con etiquetas de capacidad coincidentes.

Cuando se crea una integración de Active Directory, algunas propiedades se establecen durante la creación del objeto informático en Active Directory y no se pueden cambiar. En particular, no se pueden cambiar las siguientes propiedades predeterminadas:
WORKSTATION_TRUST_ACCOUNT	0x1000
PASSWD_NOTREQD (No password is required)	0x0020

Para las implementaciones locales, la integración de Active Directory permite configurar una función de comprobación de estado que muestra el estado de la integración y la integración de ABX subyacente en la que se basa, incluido el proxy de nube de extensibilidad necesario. Antes de aplicar una directiva de Active Directory, Cloud Assembly comprueba el estado de las integraciones subyacentes. Si la integración tiene un estado correcto, Cloud Assembly crea los objetos de equipo implementados en la instancia de Active Directory especificada. Si la integración tiene un estado incorrecto, la operación de implementación omite la fase de Active Directory durante el aprovisionamiento.

Requisitos previos

  • La integración de Active Directory requiere una conexión LDAP con el servidor de Active Directory.
  • Si desea configurar una integración de Active Directory con una instancia de vCenter local, debe configurar una integración de extensibilidad basada en acciones (Action-Based Extensibility, ABX) con un proxy de nube de extensibilidad. Seleccione Extensibilidad > Actividad > Integraciones y, a continuación, seleccione Acciones de extensibilidad local.
  • Si desea configurar una integración con Active Directory en la nube, debe tener una cuenta de Microsoft Azure o Amazon Web Services.
  • Debe tener un proyecto configurado con zonas de nube, asignaciones de imagen y asignaciones de tipo adecuadas que se usarán con la integración de Active Directory.
  • La OU deseada en Active Directory debe crearse previamente antes de asociar la integración de Active Directory con un proyecto.
  • El usuario configurado para la integración de Active Directory debe tener permisos para crear, eliminar o buscar objetos de equipo en la unidad organizativa configurada.

Procedimiento

  1. Seleccione Infraestructura > Conexiones > Integraciones y, por último, Nueva integración.
  2. Haga clic en Active Directory.
  3. En la pestaña Resumen, introduzca los nombres de entorno y de host de LDAP adecuados.
    El host de LDAP especificado se utiliza para validar la integración de Active Directory, así como en las implementaciones posteriores si no se especifica ni se invoca ningún host alternativo debido a errores o falta de disponibilidad.
  4. Introduzca el nombre y la contraseña del servidor LDAP.
  5. Introduzca el DN base adecuado que especifique la raíz de los recursos de Active Directory deseados.
    Nota: Solo puede especificar un DN por cada integración de Active Directory.
  6. Haga clic en Validar para asegurarse de que la integración funcione.
  7. Introduzca un nombre y una descripción para esta integración.
  8. Haga clic en Guardar.
  9. Haga clic en la pestaña Proyecto para agregar un proyecto a la integración de Active Directory.
    En el cuadro de diálogo Agregar proyectos, debe seleccionar un nombre de proyecto y un DN relativo, el cual es un DN que existe dentro del DN base especificado en la pestaña Resumen.
  10. En la selección Opciones ampliadas, proporcione una lista separada por comas de Hosts alternativos que se utilizarán si el servidor seleccionado inicialmente no se encuentra disponible durante la implementación. El servidor principal siempre se utiliza para la validación inicial de la integración.
    Nota: Si el formato del host principal es LDAP, no se admite LDAPS para los hosts alternativos.
  11. Introduzca el tiempo de espera en segundos para que el servidor inicial responda antes de probar con un servidor alternativo en el cuadro Se agotó el tiempo de espera de la conexión.
  12. Haga clic en Guardar.

Resultados

Ahora puede asociar el proyecto con la integración de Active Directory a una plantilla de nube. Cuando una máquina se aprovisiona con esta plantilla de nube, se realizan copias intermedias previas de esta en la unidad organizativa y en la instancia de Active Directory especificadas.

Inicialmente, las integraciones de Active Directory se implementan en una unidad organizativa predeterminada con pocas restricciones de usuario. La unidad organizativa se establece de forma predeterminada cuando se asigna una integración de Active Directory a un proyecto. Puede agregar una propiedad llamada FinalRelativeDN a los blueprints para cambiar la unidad organizativa de las implementaciones de Active Directory. Esta propiedad permite especificar la unidad organizativa que se utilizará con una implementación de Active Directory.

formatVersion: 1
inputs: {}
resources:
  Cloud_vSphere_Machine_1:
    type: Cloud.vSphere.Machine
    properties:
      image: CenOS8
      flavor: tiny
      activeDirectory:
        finalRelativeDN: ou=test
        securityGroup: TestSecurityGroup

Como se muestra en el ejemplo de YAML anterior, los usuarios pueden agregar una propiedad a una implementación de integración de Active Directory con la que se agregue una cuenta de equipo al grupo de seguridad de modo que se asignen los permisos adecuados para acceder al recurso compartido a través de una red. La máquina virtual de Active Directory se implementa inicialmente en una unidad organizativa fija, pero cuando la máquina está lista para su publicación, se mueve a una unidad organizativa diferente con la directiva adecuada según los usuarios.

Si una cuenta de equipo se mueve a una unidad organizativa diferente después de la implementación, Cloud Assembly intenta eliminar las cuentas de la unidad organizativa inicial. La eliminación de las cuentas de equipo solo se realiza correctamente si las máquinas virtuales se mueven a una unidad organizativa diferente dentro del mismo dominio.

También puede implementar una comprobación de estado basada en etiquetas para las integraciones de Active Directory locales de la siguiente manera.

  1. Cree una integración de Active Directory como se describe en los pasos anteriores.
  2. Haga clic en la pestaña Proyecto para agregar un proyecto a la integración de Active Directory.
  3. Seleccione un nombre de proyecto y un DN relativo en el cuadro de diálogo Agregar proyectos. El DN relativo debe existir dentro del DN base especificado.

    Existen dos conmutadores en este cuadro de diálogo que le permiten controlar la configuración de Active Directory desde plantillas de nube. Ambos conmutadores se encuentran desactivados de forma predeterminada.

    • Anular: este conmutador permite anular propiedades de Active Directory, específicamente el DN relativo en las plantillas de nube. Cuando se activa, es posible cambiar la unidad organizativa especificada en la propiedad relativeDN de la plantilla de nube. Cuando se aprovisiona, se agrega la máquina a la unidad organizativa especificada en la propiedad relativeDN de la plantilla de nube. El siguiente ejemplo muestra la jerarquía de plantillas de nube en la que aparece esta propiedad.
      activeDirectory:
           relativeDN: OU=ad_integration_machine_override
    • Ignorar: este conmutador permite omitir la configuración de Active Directory para el proyecto. Cuando se activa, es posible agregar una propiedad a la plantilla de nube llamada ignoreActiveDirectory de la máquina virtual asociada. Cuando esta propiedad se establece en true, la máquina no se agrega a Active Directory al implementarla.
  4. Agregue las etiquetas adecuadas. Estas etiquetas se aplican a la zona de nube donde se puede aplicar la directiva de Active Directory.
  5. Haga clic en Guardar.

El estado de la integración de Active Directory se muestra para cada integración en la página Infraestructura > Conexiones > Integraciones en Cloud Assembly.

Puede asociar el proyecto con la integración de Active Directory a una plantilla de nube. Cuando una máquina se aprovisiona con esta plantilla, se realizan copias intermedias previas de esta en la unidad organizativa y en la instancia de Active Directory especificadas.