Cloud Assembly は、Active Directory サーバとの統合をサポートしており、仮想マシンをプロビジョニングする前に、指定された組織単位 (OU) 内のコンピュータ アカウントが Active Directory サーバ内に最初から作成されます。Active Directory では、Active Directory サーバへの LDAP 接続がサポートされています。

プロジェクトに関連付けられている Active Directory ポリシーは、そのプロジェクトの範囲内にプロビジョニングされるすべての仮想マシンに適用されます。ユーザーは 1 つ以上のタグを指定することにより、一致する機能タグを持つクラウド ゾーンにプロビジョニングされる仮想マシンにポリシーを選択的に適用できます。

Active Directory 統合が作成されている場合、一部のプロパティは Active Directory でのコンピュータ オブジェクトの作成中に設定され、変更できません。特に、次のデフォルト プロパティは変更できません。
WORKSTATION_TRUST_ACCOUNT	0x1000
PASSWD_NOTREQD (No password is required)	0x0020

オンプレミス展開では、Active Directory 統合により、統合とその基盤となる ABX 統合(必要な拡張クラウド プロキシなど)のステータスを示す、健全性チェック機能を設定できます。Active Directory ポリシーを適用する前に、Cloud Assembly によって、基盤となる統合のステータスがチェックされます。統合が健全な場合、Cloud Assembly は、指定された Active Directory で展開されるコンピュータ オブジェクトを作成します。統合が健全でない場合、展開操作ではプロビジョニング中に Active Directory フェーズがスキップされます。

前提条件

  • Active Directory 統合では、Active Directory サーバへの LDAP 接続が必要です。
  • vCenter オンプレミスと Active Directory の統合を構成する場合は、拡張クラウド プロキシとの ABX 統合を構成する必要があります。[拡張性] > [アクティビティ] > [統合] の順に選択し、[オンプレミスの拡張性アクション] を選択します。
  • クラウドでの Active Directory との統合を設定する場合は、Microsoft Azure または Amazon Web Services アカウントが必要です。
  • 適切なクラウド ゾーンで設定されたプロジェクトと、Active Directory 統合で使用するイメージとフレーバーのマッピングが必要です。
  • Active Directory 統合をプロジェクトに関連付ける前に、Active Directory 上に目的の OU を事前に作成しておく必要があります。
  • Active Directory 統合用に構成されたユーザーには、構成された OU でコンピュータ オブジェクトを作成/削除/検索する権限が必要です。

手順

  1. [インフラストラクチャ] > [接続] > [統合] の順に選択して、[新しい統合] をクリックします。
  2. [Active Directory] をクリックします。
  3. [サマリ] タブで、適切な LDAP ホスト名と環境名を入力します。
    指定した LDAP ホストは、Active Directory 統合の検証に使用されます。また、代替のホストが指定されていない場合や、エラーまたは使用できない状態のために起動していない場合は、その後の展開にも使用されます。
  4. LDAP サーバの名前とパスワードを入力します。
  5. 目的の Active Directory リソースのルートを指定する適切なベース DN を入力します。
    注: 各 Active Directory 統合ごとに 1 つの識別名 (DN) のみを指定できます。
  6. [検証] をクリックして、統合が機能することを確認します。
  7. この統合の名前と説明を入力します。
  8. [保存] をクリックします。
  9. [プロジェクト] タブをクリックして、Active Directory 統合にプロジェクトを追加します。
    [プロジェクトの追加] ダイアログで、プロジェクト名と、[サマリ] タブで指定したベース識別名 (DN) 内にある相対識別名 (DN) を選択する必要があります。
  10. [拡張オプション] の選択で、最初に選択したサーバが展開時に使用できない場合に使用される [代替ホスト] をカンマ区切りリストで指定します。統合の初期検証には、常にプライマリ サーバが使用されます。
    注: プライマリ ホストの形式が LDAP の場合、LDAPS は代替ホストとしてサポートされません。
  11. [接続タイムアウト] ボックスに、最初のサーバが応答するのを待機する時間を秒単位で入力します。
  12. [保存] をクリックします。

結果

これで、Active Directory 統合を含むプロジェクトをクラウド テンプレートに関連付けられるようになりました。このクラウド テンプレートを使用してマシンをプロビジョニングすると、マシンは指定された Active Directory および組織単位に事前にステージングされます。

最初は、Active Directory 統合はデフォルトの OU に展開され、ユーザーの制限はほとんどありません。OU は、Active Directory 統合をプロジェクトにマッピングするときにデフォルトで設定されます。FinalRelativeDN というプロパティをブループリントに追加して、Active Directory 展開の OU を変更できます。このプロパティを使用すると、Active Directory 展開で使用する OU を指定できます。

formatVersion: 1
inputs: {}
resources:
  Cloud_vSphere_Machine_1:
    type: Cloud.vSphere.Machine
    properties:
      image: CenOS8
      flavor: tiny
      activeDirectory:
        finalRelativeDN: ou=test
        securityGroup: TestSecurityGroup

前の YAML の例に示すように、ユーザーは、セキュリティ グループにコンピュータ アカウントを追加するプロパティを Active Directory 統合の展開に追加することで、共有リソースにネットワーク経由でアクセスするための適切な権限が割り当てられるようにすることができます。Active Directory 仮想マシンは、最初は固定 OU に展開されますが、マシンをリリースする準備ができると、ユーザーに適したポリシーを持つ別の OU に移動されます。

展開後にコンピュータ アカウントが別の OU に移動された場合、Cloud Assembly は、最初の OU のアカウントの削除を試行します。コンピュータ アカウントの削除は、仮想マシンの移動先が同じドメイン内の別の OU だった場合にのみ成功します。

オンプレミスの Active Directory 統合に対するタグベースの健全性チェックを、次のように実装することもできます。

  1. 前の手順で説明したように、Active Directory 統合を作成します。
  2. [プロジェクト] タブをクリックして、Active Directory 統合にプロジェクトを追加します。
  3. プロジェクト名を選択し、[プロジェクトの追加] ダイアログで相対 DN を選択します。相対 DN は、指定したベース DN 内に存在している必要があります。

    このダイアログには、クラウド テンプレートから Active Directory の構成を制御できる 2 つのスイッチがあります。デフォルトでは、どちらのスイッチもオフになっています。

    • [オーバーライド] - このスイッチを使用すると、クラウド テンプレートの相対 DN など、Active Directory のプロパティをオーバーライドできます。オンに切り替えると、クラウド テンプレートの relativeDN プロパティで指定された OU を変更できるようになります。マシンをプロビジョニングすると、このマシンが、クラウド テンプレートの relativeDN プロパティで指定された OU に追加されます。次の例は、このプロパティが表示されるクラウド テンプレート階層を示しています。
      activeDirectory:
           relativeDN: OU=ad_integration_machine_override
    • [無視] - このスイッチを使用すると、プロジェクトの Active Directory の構成を無視できます。オンに切り替えると、関連付けられた仮想マシンの ignoreActiveDirectory クラウド テンプレートにプロパティが追加されます。このプロパティを true に設定すると、展開時にマシンが Active Directory に追加されなくなります。
  4. 適切なタグを追加します。これらのタグは、Active Directory ポリシーを適用できるクラウド ゾーンに適用できます。
  5. [保存] をクリックします。

Active Directory 統合のステータスは、Cloud Assembly[インフラストラクチャ] > [接続] > [統合]画面の各統合に表示されます。

Active Directory 統合を含むプロジェクトをクラウド テンプレートに関連付けることができます。このテンプレートを使用してマシンをプロビジョニングすると、マシンは指定された Active Directory および OU に事前にステージングされます。