Cloud Assembly admite la integración con servidores de Active Directory para ofrecer la creación lista para usar de cuentas de equipo en una unidad organizativa (Organizational Unit, OU) específica dentro de un servidor de Active Directory antes de aprovisionar una máquina virtual. Active Directory admite una conexión LDAP con el servidor de Active Directory.
Una directiva de Active Directory que está asociada con un proyecto se aplica a todas las máquinas virtuales aprovisionadas dentro del ámbito de ese proyecto. Los usuarios pueden especificar una o varias etiquetas para aplicar de forma selectiva la directiva a las máquinas virtuales que se aprovisionan en las zonas de nube con etiquetas de capacidad coincidentes.
WORKSTATION_TRUST_ACCOUNT 0x1000 PASSWD_NOTREQD (No password is required) 0x0020
Para las implementaciones locales, la integración de Active Directory permite configurar una función de comprobación de estado que muestra el estado de la integración y la integración de ABX subyacente en la que se basa, incluido el proxy de nube de extensibilidad necesario. Antes de aplicar una directiva de Active Directory, Cloud Assembly comprueba el estado de las integraciones subyacentes. Si la integración tiene un estado correcto, Cloud Assembly crea los objetos de equipo implementados en la instancia de Active Directory especificada. Si la integración tiene un estado incorrecto, la operación de implementación omite la fase de Active Directory durante el aprovisionamiento.
Requisitos previos
- La integración de Active Directory requiere una conexión LDAP con el servidor de Active Directory.
- Si desea configurar una integración de Active Directory con una instancia de vCenter local, debe configurar una integración de extensibilidad basada en acciones (Action-Based Extensibility, ABX) con un proxy de nube de extensibilidad. Seleccione y, a continuación, seleccione Acciones de extensibilidad local.
- Si desea configurar una integración con Active Directory en la nube, debe tener una cuenta de Microsoft Azure o Amazon Web Services.
- Debe tener un proyecto configurado con zonas de nube, asignaciones de imagen y asignaciones de tipo adecuadas que se usarán con la integración de Active Directory.
- La OU deseada en Active Directory debe crearse previamente antes de asociar la integración de Active Directory con un proyecto.
- El usuario configurado para la integración de Active Directory debe tener permisos para crear, eliminar o buscar objetos de equipo en la unidad organizativa configurada.
Procedimiento
Resultados
Ahora puede asociar el proyecto con la integración de Active Directory a una plantilla de nube. Cuando una máquina se aprovisiona con esta plantilla de nube, se realizan copias intermedias previas de esta en la unidad organizativa y en la instancia de Active Directory especificadas.
Inicialmente, las integraciones de Active Directory se implementan en una unidad organizativa predeterminada con pocas restricciones de usuario. La unidad organizativa se establece de forma predeterminada cuando se asigna una integración de Active Directory a un proyecto. Puede agregar una propiedad llamada FinalRelativeDN
a los blueprints para cambiar la unidad organizativa de las implementaciones de Active Directory. Esta propiedad permite especificar la unidad organizativa que se utilizará con una implementación de Active Directory.
formatVersion: 1 inputs: {} resources: Cloud_vSphere_Machine_1: type: Cloud.vSphere.Machine properties: image: CenOS8 flavor: tiny activeDirectory: finalRelativeDN: ou=test securityGroup: TestSecurityGroup
Como se muestra en el ejemplo de YAML anterior, los usuarios pueden agregar una propiedad a una implementación de integración de Active Directory con la que se agregue una cuenta de equipo al grupo de seguridad de modo que se asignen los permisos adecuados para acceder al recurso compartido a través de una red. La máquina virtual de Active Directory se implementa inicialmente en una unidad organizativa fija, pero cuando la máquina está lista para su publicación, se mueve a una unidad organizativa diferente con la directiva adecuada según los usuarios.
Si una cuenta de equipo se mueve a una unidad organizativa diferente después de la implementación, Cloud Assembly intenta eliminar las cuentas de la unidad organizativa inicial. La eliminación de las cuentas de equipo solo se realiza correctamente si las máquinas virtuales se mueven a una unidad organizativa diferente dentro del mismo dominio.
También puede implementar una comprobación de estado basada en etiquetas para las integraciones de Active Directory locales de la siguiente manera.
- Cree una integración de Active Directory como se describe en los pasos anteriores.
- Haga clic en la pestaña Proyecto para agregar un proyecto a la integración de Active Directory.
- Seleccione un nombre de proyecto y un DN relativo en el cuadro de diálogo Agregar proyectos. El DN relativo debe existir dentro del DN base especificado.
Existen dos conmutadores en este cuadro de diálogo que le permiten controlar la configuración de Active Directory desde plantillas de nube. Ambos conmutadores se encuentran desactivados de forma predeterminada.
- Anular: este conmutador permite anular propiedades de Active Directory, específicamente el DN relativo en las plantillas de nube. Cuando se activa, es posible cambiar la unidad organizativa especificada en la propiedad
relativeDN
de la plantilla de nube. Cuando se aprovisiona, se agrega la máquina a la unidad organizativa especificada en la propiedadrelativeDN
de la plantilla de nube. El siguiente ejemplo muestra la jerarquía de plantillas de nube en la que aparece esta propiedad.activeDirectory: relativeDN: OU=ad_integration_machine_override
- Ignorar: este conmutador permite omitir la configuración de Active Directory para el proyecto. Cuando se activa, es posible agregar una propiedad a la plantilla de nube llamada
ignoreActiveDirectory
de la máquina virtual asociada. Cuando esta propiedad se establece en true, la máquina no se agrega a Active Directory al implementarla.
- Anular: este conmutador permite anular propiedades de Active Directory, específicamente el DN relativo en las plantillas de nube. Cuando se activa, es posible cambiar la unidad organizativa especificada en la propiedad
- Agregue las etiquetas adecuadas. Estas etiquetas se aplican a la zona de nube donde se puede aplicar la directiva de Active Directory.
- Haga clic en Guardar.
El estado de la integración de Active Directory se muestra para cada integración en la página Cloud Assembly.
enPuede asociar el proyecto con la integración de Active Directory a una plantilla de nube. Cuando una máquina se aprovisiona con esta plantilla, se realizan copias intermedias previas de esta en la unidad organizativa y en la instancia de Active Directory especificadas.