Cloud Assembly prend en charge l'intégration aux serveurs Active Directory pour permettre la création directe de comptes d'ordinateur dans une unité d'organisation (UO) spécifiée au sein d'un serveur Active Directory avant le provisionnement d'une machine virtuelle. Active Directory prend en charge une connexion LDAP au serveur Active Directory.

Une stratégie Active Directory associée à un projet est appliquée à toutes les machines virtuelles provisionnées dans l'étendue de ce projet. Les utilisateurs peuvent spécifier une ou plusieurs balises pour appliquer de manière sélective la stratégie aux machines virtuelles provisionnées dans les zones de cloud avec des balises de capacité correspondantes.

Lors de la création d'une intégration d'Active Directory, certaines propriétés sont définies lors de la création de l'objet ordinateur dans Active Directory et ne peuvent pas être modifiées. En particulier, les propriétés par défaut suivantes ne peuvent pas être modifiées :
WORKSTATION_TRUST_ACCOUNT	0x1000
PASSWD_NOTREQD (No password is required)	0x0020

Pour les déploiements sur site, l'intégration Active Directory vous permet de configurer une fonctionnalité de contrôle de santé qui affiche l'état de l'intégration et l'intégration ABX sous-jacente sur laquelle elle repose, y compris le proxy cloud d'extensibilité requis. Cloud Assembly vérifie l'état des intégrations sous-jacentes avant d'appliquer une stratégie Active Directory. Si l'intégration est saine, Cloud Assembly crée des objets ordinateur déployés dans l'annuaire Active Directory spécifié. Si l'intégration est défectueuse, l'opération de déploiement ignore la phase Active Directory pendant le provisionnement.

Conditions préalables

  • L'intégration Active Directory nécessite une connexion LDAP au serveur Active Directory.
  • Si vous configurez une intégration Active Directory à une instance sur site de vCenter, vous devez configurer une intégration ABX avec un proxy cloud d'extensibilité. Sélectionnez Extensibilité > Activité > Intégrations et choisissez Actions d'extensibilité sur site.
  • Si vous configurez une intégration à Active Directory dans le cloud, vous devez disposer d'un compte Microsoft Azure ou Amazon Web Services.
  • Vous devez disposer d'un projet configuré avec des zones de cloud appropriées, ainsi que des mappages d'image et de type à utiliser avec l'intégration Active Directory.
  • L'UO souhaitée sur votre annuaire Active Directory doit être précréée avant de pouvoir associer l'intégration Active Directory à un projet.
  • L'utilisateur configuré pour l'intégration Active Directory doit disposer d'autorisations pour créer/supprimer/rechercher des objets d'ordinateur dans l'unité d'organisation configurée.

Procédure

  1. Sélectionnez Infrastructure > Connexions > Intégrations, puis Nouvelle intégration.
  2. Cliquez sur Active Directory.
  3. Dans l'onglet Résumé, entrez les noms d'hôte et d'environnement LDAP appropriés.
    L'hôte LDAP spécifié est utilisé pour valider l'intégration Active Directory, et il est également utilisé pour les déploiements suivants si aucun hôte alternatif n'est spécifié et appelé en raison d'erreurs ou d'indisponibilité.
  4. Entrez le nom et le mot de passe du serveur LDAP.
  5. Entrez le nom unique de base approprié qui spécifie l'utilisateur racine pour les ressources Active Directory souhaitées.
    Note : Vous ne pouvez spécifier qu'un seul nom par intégration Active Directory.
  6. Cliquez sur Valider pour vous assurer que l'intégration est fonctionnelle.
  7. Entrez un nom et une description pour cette intégration.
  8. Cliquez sur Enregistrer.
  9. Cliquez sur l'onglet Projet pour ajouter un projet à l'intégration Active Directory.
    Dans la boîte de dialogue Ajouter des projets, vous devez sélectionner un nom de projet et un nom unique relatif qui existe dans le nom unique de base spécifié dans l'onglet Résumé.
  10. Sous la sélection Options étendues, fournissez une liste séparée par des virgules d'hôtes de substitution qui sera utilisée si le serveur initialement sélectionné n'est pas disponible pendant le déploiement. Le serveur principal est toujours utilisé pour la validation initiale de l'intégration.
    Note : Si le format de l'hôte principal est LDAP, LDAPS n'est pas pris en charge pour les hôtes alternatifs.
  11. Entrez en secondes le délai d'attente de réponse du serveur initial avant d'essayer un autre serveur dans la zone Délai d'expiration de connexion.
  12. Cliquez sur Enregistrer.

Résultats

Vous pouvez maintenant associer à un modèle de cloud le projet incluant l'intégration Active Directory. Lorsqu'une machine est provisionnée à l'aide de ce modèle de cloud, elle est prétransférée dans l'annuaire Active Directory et l'unité d'organisation spécifiés.

Initialement, les intégrations Active Directory sont déployées sur une unité d'organisation par défaut avec peu de restrictions utilisateur. L'unité d'organisation est définie par défaut lorsque vous mappez une intégration Active Directory à un projet. Vous pouvez ajouter une propriété appelée FinalRelativeDN aux Blueprints pour modifier l'unité d'organisation des déploiements Active Directory. Cette propriété vous permet de spécifier l'unité d'organisation à utiliser avec un déploiement Active Directory.

formatVersion: 1
inputs: {}
resources:
  Cloud_vSphere_Machine_1:
    type: Cloud.vSphere.Machine
    properties:
      image: CenOS8
      flavor: tiny
      activeDirectory:
        finalRelativeDN: ou=test
        securityGroup: TestSecurityGroup

Comme indiqué dans l'exemple YAML précédent, les utilisateurs peuvent ajouter une propriété à un déploiement d'intégration Active Directory qui ajoute un compte d'ordinateur au groupe de sécurité afin que les autorisations appropriées soient attribuées pour accéder à la ressource partagée sur un réseau. La machine virtuelle Active Directory est initialement déployée dans une unité d'organisation fixe, mais lorsque la machine est prête à être mise en service, elle est déplacée vers une autre unité d'organisation avec la stratégie appropriée applicable aux utilisateurs.

Si un compte d'ordinateur est déplacé vers une unité d'organisation différente après le déploiement, Cloud Assembly tente de supprimer les comptes sur l'unité d'organisation initiale. La suppression des comptes d'ordinateur réussit uniquement dans le cas de machines virtuelles déplacées vers une unité d'organisation différente dans le même domaine.

Vous pouvez également procéder de la manière suivante afin de mettre en place un contrôle de santé basé sur des balises pour les intégrations Active Directory sur site.

  1. Créez une intégration Active Directory comme décrit dans les étapes précédentes.
  2. Cliquez sur l'onglet Projet pour ajouter un projet à l'intégration Active Directory.
  3. Sélectionnez un nom de projet et un nom unique relatif dans la boîte de dialogue Ajouter des projets. Le nom unique relatif doit exister dans le nom unique de base spécifié.

    Cette boîte de dialogue comporte deux commutateurs qui vous permettent de contrôler la configuration Active Directory depuis les modèles de Cloud. Les deux commutateurs sont désactivés par défaut.

    • Remplacer : ce commutateur vous permet de remplacer les propriétés Active Directory, en particulier le nom unique relatif dans les modèles de cloud. Lorsque ce commutateur est activé, vous pouvez modifier l'unité d'organisation spécifiée dans la propriété relativeDN du modèle de cloud. Une fois provisionnée, la machine sera ajoutée à l'unité d'organisation spécifiée dans la propriété relativeDN du modèle de cloud. L'exemple suivant montre la hiérarchie de modèle de cloud dans laquelle cette propriété s'affiche.
      activeDirectory:
           relativeDN: OU=ad_integration_machine_override
    • Ignorer : ce commutateur vous permet d'ignorer la configuration Active Directory du projet. Lorsque ce commutateur est activé, une propriété appelée ignoreActiveDirectory est ajoutée au modèle de cloud pour la machine virtuelle associée. Lorsque cette propriété est définie sur vraie, la machine n'est pas ajoutée à Active Directory une fois déployée.
  4. Ajoutez les balises appropriées. Ces balises s'appliquent à la zone de cloud à laquelle la stratégie Active Directory peut s'appliquer.
  5. Cliquez sur Enregistrer.

L'état de l'intégration Active Directory s'affiche pour chaque intégration sur la page Infrastructure > Connexions > Intégrations dans Cloud Assembly.

Vous pouvez associer le projet incluant l'intégration Active Directory avec un modèle de cloud. Lorsqu'une machine est provisionnée à l'aide de ce modèle, elle est prétransférée dans l'annuaire Active Directory et l'unité d'organisation spécifiés.