Cloud Assembly は、Active Directory サーバとの統合をサポートしており、仮想マシンをプロビジョニングする前に、指定された組織単位 (OU) 内のコンピュータ アカウントが Active Directory サーバ内に最初から作成されます。Active Directory では、Active Directory サーバへの LDAP 接続がサポートされています。
プロジェクトに関連付けられている Active Directory ポリシーは、そのプロジェクトの範囲内にプロビジョニングされるすべての仮想マシンに適用されます。ユーザーは 1 つ以上のタグを指定することにより、一致する機能タグを持つクラウド ゾーンにプロビジョニングされる仮想マシンにポリシーを選択的に適用できます。
WORKSTATION_TRUST_ACCOUNT 0x1000 PASSWD_NOTREQD (No password is required) 0x0020
オンプレミス展開では、Active Directory 統合により、統合とその基盤となる ABX 統合(必要な拡張クラウド プロキシなど)のステータスを示す、健全性チェック機能を設定できます。Active Directory ポリシーを適用する前に、Cloud Assembly によって、基盤となる統合のステータスがチェックされます。統合が健全な場合、Cloud Assembly は、指定された Active Directory で展開されるコンピュータ オブジェクトを作成します。統合が健全でない場合、展開操作ではプロビジョニング中に Active Directory フェーズがスキップされます。
前提条件
- Active Directory 統合では、Active Directory サーバへの LDAP 接続が必要です。
- クラウドでの Active Directory との統合を設定する場合は、Microsoft Azure または Amazon Web Services アカウントが必要です。
- 適切なクラウド ゾーンで設定されたプロジェクトと、Active Directory 統合で使用するイメージとフレーバーのマッピングが必要です。
- Active Directory 統合をプロジェクトに関連付ける前に、Active Directory 上に目的の OU を事前に作成しておく必要があります。
- Active Directory 統合用に構成されたユーザーには、構成された OU でコンピュータ オブジェクトを作成/削除/検索する権限が必要です。
手順
結果
これで、Active Directory 統合を含むプロジェクトをクラウド テンプレートに関連付けられるようになりました。このクラウド テンプレートを使用してマシンをプロビジョニングすると、マシンは指定された Active Directory および組織単位に事前にステージングされます。
最初は、Active Directory 統合はデフォルトの OU に展開され、ユーザーの制限はほとんどありません。OU は、Active Directory 統合をプロジェクトにマッピングするときにデフォルトで設定されます。FinalRelativeDN
というプロパティをブループリントに追加して、Active Directory 展開の OU を変更できます。このプロパティを使用すると、Active Directory 展開で使用する OU を指定できます。
formatVersion: 1 inputs: {} resources: Cloud_vSphere_Machine_1: type: Cloud.vSphere.Machine properties: image: CenOS8 flavor: tiny activeDirectory: finalRelativeDN: ou=test securityGroup: TestSecurityGroup
前の YAML の例に示すように、ユーザーは、セキュリティ グループにコンピュータ アカウントを追加するプロパティを Active Directory 統合の展開に追加することで、共有リソースにネットワーク経由でアクセスするための適切な権限が割り当てられるようにすることができます。Active Directory 仮想マシンは、最初は固定 OU に展開されますが、マシンをリリースする準備ができると、ユーザーに適したポリシーを持つ別の OU に移動されます。
展開後にコンピュータ アカウントが別の OU に移動された場合、Cloud Assembly は、最初の OU のアカウントの削除を試行します。コンピュータ アカウントの削除は、仮想マシンの移動先が同じドメイン内の別の OU だった場合にのみ成功します。
オンプレミスの Active Directory 統合に対するタグベースの健全性チェックを、次のように実装することもできます。
- 前の手順で説明したように、Active Directory 統合を作成します。
- [プロジェクト] タブをクリックして、Active Directory 統合にプロジェクトを追加します。
- プロジェクト名を選択し、[プロジェクトの追加] ダイアログで相対 DN を選択します。相対 DN は、指定したベース DN 内に存在している必要があります。
このダイアログには、クラウド テンプレートから Active Directory の構成を制御できる 2 つのスイッチがあります。デフォルトでは、どちらのスイッチもオフになっています。
- [オーバーライド] - このスイッチを使用すると、クラウド テンプレートの相対 DN など、Active Directory のプロパティをオーバーライドできます。オンに切り替えると、クラウド テンプレートの
relativeDN
プロパティで指定された OU を変更できるようになります。マシンをプロビジョニングすると、このマシンが、クラウド テンプレートのrelativeDN
プロパティで指定された OU に追加されます。次の例は、このプロパティが表示されるクラウド テンプレート階層を示しています。activeDirectory: relativeDN: OU=ad_integration_machine_override
- [無視] - このスイッチを使用すると、プロジェクトの Active Directory の構成を無視できます。オンに切り替えると、関連付けられた仮想マシンの
ignoreActiveDirectory
クラウド テンプレートにプロパティが追加されます。このプロパティを true に設定すると、展開時にマシンが Active Directory に追加されなくなります。
- [オーバーライド] - このスイッチを使用すると、クラウド テンプレートの相対 DN など、Active Directory のプロパティをオーバーライドできます。オンに切り替えると、クラウド テンプレートの
- 適切なタグを追加します。これらのタグは、Active Directory ポリシーを適用できるクラウド ゾーンに適用できます。
- [保存] をクリックします。
Active Directory 統合のステータスは、Cloud Assembly の 画面の各統合に表示されます。
Active Directory 統合を含むプロジェクトをクラウド テンプレートに関連付けることができます。このテンプレートを使用してマシンをプロビジョニングすると、マシンは指定された Active Directory および OU に事前にステージングされます。