Cloud Assembly supporta l'integrazione con i server di Active Directory per fornire la possibilità di creare account di computer in un'unità organizzativa specifica all'interno di un server di Active Directory prima di eseguire il provisioning di una macchina virtuale. Active Directory supporta una connessione LDAP al server di Active Directory.

Un criterio di Active Directory associato a un progetto viene applicato a tutte le macchine virtuali sottoposte a provisioning nell'ambito di tale progetto. Gli utenti possono specificare uno o più tag per applicare selettivamente il criterio alle macchine virtuali di cui viene eseguito il provisioning nelle zone cloud con tag di funzionalità corrispondenti.

Quando viene creata un'integrazione di Active Directory, alcune proprietà vengono impostate durante la creazione dell'oggetto computer in Active Directory e non possono essere modificate. In particolare, non è possibile modificare le seguenti proprietà predefinite: 
WORKSTATION_TRUST_ACCOUNT	0x1000
PASSWD_NOTREQD (No password is required)	0x0020

Per le distribuzioni in locale, l'integrazione di Active Directory consente di configurare una funzionalità di controllo dello stato che mostra lo stato dell'integrazione e l'integrazione di ABX sottostante su cui si basa, incluso il proxy di estendibilità del cloud necessario. Prima di applicare un criterio di Active Directory, Cloud Assembly controlla lo stato delle integrazioni sottostanti. Se l'integrazione è integra, Cloud Assembly crea gli oggetti computer distribuiti nell'istanza di Active Directory specificata. Se l'integrazione non è integra, l'operazione di distribuzione ignora la fase di Active Directory durante il provisioning.

Prerequisiti

  • L'integrazione di Active Directory richiede una connessione LDAP al server di Active Directory.
  • Se si sta configurando l'integrazione di Active Directory con vCenter in locale, è necessario configurare un'integrazione di ABX con un proxy di estendibilità del cloud. Selezionare Estendibilità > Attività > Integrazioni e scegliere Azioni di estendibilità locali.
  • Se si sta configurando un'integrazione con Active Directory nel cloud, è necessario disporre di un account Microsoft Azure o Amazon Web Services.
  • È necessario disporre di un progetto configurato con zone cloud appropriate e mappature di immagini e caratteristiche da utilizzare con l'integrazione di Active Directory.
  • L'unità organizzativa desiderata nell'istanza di Active Directory deve essere già stata creata prima di associare l'integrazione di Active Directory a un progetto.
  • L'utente configurato per l'integrazione di Active Directory deve disporre delle autorizzazioni per creare/eliminare/cercare oggetti computer nell'unità organizzativa configurata.

Procedura

  1. Selezionare Infrastruttura > Connessioni > Integrazioni e fare clic su Nuova integrazione.
  2. Fare clic su Active Directory.
  3. Nella scheda Riepilogo, immettere i nomi dell'host e dell'ambiente LDAP appropriati.
    L'host LDAP specificato viene utilizzato per convalidare l'integrazione di Active Directory e viene utilizzato anche per le distribuzioni successive se non vengono specificati e richiamati host alternativi a causa di errori o indisponibilità.
  4. Immettere il nome e la password del server LDAP.
  5. Immettere il DN di base appropriato che specifica la radice per le risorse di Active Directory desiderate.
    Nota: È possibile specificare un solo DN per ogni integrazione di Active Directory.
  6. Fare clic su Convalida per verificare che l'integrazione funzioni.
  7. Immettere un nome e una descrizione per questa integrazione.
  8. Fare clic su Salva.
  9. Fare clic sulla scheda Progetto per aggiungere un progetto all'integrazione di Active Directory.
    Nella finestra di dialogo Aggiungi progetti, è necessario selezionare un nome di progetto e un DN relativo, ovvero un DN esistente all'interno del DN di base specificato nella scheda Riepilogo.
  10. Sotto la selezione Opzioni estese, fornire un elenco separato da virgole di Host alternativi che verranno utilizzati se il server selezionato inizialmente non è disponibile durante la distribuzione. Il server primario viene sempre utilizzato per la convalida iniziale dell'integrazione.
    Nota: Se il formato dell'host primario è LDAP, LDAPS non è supportato per gli host alternativi.
  11. Immettere il tempo di attesa in secondi per la risposta del server iniziale prima di provare un server alternativo nella casella Timeout connessione.
  12. Fare clic su Salva.

risultati

È ora possibile associare il progetto con l'integrazione di Active Directory a un modello cloud. Quando viene eseguito il provisioning di una macchina utilizzando questo modello cloud, ne viene eseguito lo staging preventivo nell'istanza di Active Directory e nell'unità organizzativa specificate.

Inizialmente, le integrazioni di Active Directory vengono distribuite in un'unità organizzativa predefinita con limitazioni minime per l'utente. L'unità organizzativa viene configurata per impostazione predefinita quando si mappa un'integrazione di Active Directory a un progetto. È possibile aggiungere una proprietà denominata FinalRelativeDN ai blueprint per modificare l'unità organizzativa per le distribuzioni di Active Directory. Questa proprietà consente di specificare l'unità organizzativa da utilizzare con una distribuzione di Active Directory.

formatVersion: 1
inputs: {}
resources:
  Cloud_vSphere_Machine_1:
    type: Cloud.vSphere.Machine
    properties:
      image: CenOS8
      flavor: tiny
      activeDirectory:
        finalRelativeDN: ou=test
        securityGroup: TestSecurityGroup

Come illustrato nell'esempio YAML precedente, gli utenti possono aggiungere una proprietà a una distribuzione dell'integrazione di Active Directory che aggiunge un account computer al gruppo di sicurezza in modo che vengano assegnate le autorizzazioni appropriate per accedere alla risorsa condivisa in una rete. La macchina virtuale Active Directory viene inizialmente distribuita in un'unità organizzativa fissa, ma quando la macchina è pronta per il rilascio, viene spostata in un'altra unità organizzativa con il criterio appropriato applicabile per gli utenti.

Se un account computer viene spostato in un'unità organizzativa diversa dopo la distribuzione, Cloud Assembly tenta di eliminare gli account nell'unità organizzativa iniziale. L'eliminazione degli account computer viene eseguita solo nel caso di macchine virtuali spostate in un'altra unità organizzativa all'interno dello stesso dominio.

È inoltre possibile implementare un controllo dello stato basato su tag per le integrazioni di Active Directory in locale come indicato di seguito.

  1. Creare un'integrazione di Active Directory come descritto nei passaggi precedenti.
  2. Fare clic sulla scheda Progetto per aggiungere un progetto all'integrazione di Active Directory.
  3. Selezionare un nome di progetto e un DN relativo nella finestra di dialogo Aggiungi progetti. Il DN relativo deve esistere all'interno del DN di base specificato.

    In questa finestra di dialogo sono presenti due commutatori che consentono di controllare la configurazione di Active Directory dai modelli cloud. Entrambi i commutatori sono disattivati per impostazione predefinita.

    • Sostituisci: questo commutatore consente di sostituire le proprietà di Active Directory, in modo specifico il DN relativo nei modelli cloud. Quando attivato, è possibile modificare l'unità organizzativa specificata nella proprietà relativeDN nel modello cloud. Una volta sottoposta a provisioning, la macchina verrà aggiunta all'unità organizzativa specificata nella proprietà relativeDN nel modello cloud. L'esempio seguente mostra la gerarchia di modelli cloud in cui viene visualizzata questa proprietà.
      activeDirectory:
     relativeDN: OU=ad_integration_machine_override
    • Ignora: questa opzione consente di ignorare la configurazione di Active Directory per il progetto. Quando attivata, aggiunge una proprietà al modello cloud denominato ignoreActiveDirectory per la macchina virtuale associata. Quando questa proprietà è impostata su true significa che la macchina non viene aggiunta ad Active Directory durante la distribuzione.
  4. Aggiungere i tag appropriati. Questi tag sono applicabili alla zona cloud in cui può essere applicato il criterio di Active Directory.
  5. Fare clic su Salva.

Lo stato dell'integrazione di Active Directory viene visualizzato per ogni integrazione nella pagina Infrastruttura > Connessioni > Integrazioni in Cloud Assembly.

È possibile associare il progetto con l'integrazione di Active Directory a un modello cloud. Quando viene eseguito il provisioning di una macchina utilizzando questo modello, tale macchina viene preinstallata nell'unità organizzativa e nell'istanza di Active Directory specificate.