Cloud Assembly는 가상 시스템을 프로비저닝하기 전에 Active Directory 서버 내에 지정된 OU(조직 구성 단위)에서 바로 사용할 수 있는 컴퓨터 계정을 생성할 수 있도록 Active Directory 서버와의 통합을 지원합니다. Active Directory는 Active Directory 서버에 대한 LDAP 연결을 지원합니다.

프로젝트와 연결된 Active Directory 정책은 해당 프로젝트의 범위 내에서 프로비저닝된 모든 가상 시스템에 적용됩니다. 사용자는 일치하는 기능 태그가 있는 클라우드 영역에 프로비저닝된 가상 시스템에 정책을 선택적으로 적용하는 태그를 하나 이상 지정할 수 있습니다.

Active Directory 통합이 생성될 때 일부 속성은 Active Directory에서 컴퓨터 개체를 생성하는 동안 설정되며 변경할 수 없습니다. 특히 다음과 같은 기본 속성은 변경할 수 없습니다. 
WORKSTATION_TRUST_ACCOUNT	0x1000
PASSWD_NOTREQD (No password is required)	0x0020

온-프레미스 배포의 경우, Active Directory 통합을 사용하면 필요한 확장성 클라우드 프록시를 포함하여 통합의 상태와 이에 의존하는 기본 ABX 통합을 표시하는 상태 점검 기능을 설정할 수 있습니다. Active Directory 정책을 적용하기 전에 Cloud Assembly는 기본 통합의 상태를 확인합니다. 통합이 정상이면 Cloud Assembly는 지정된 Active Directory에 배포된 컴퓨터 개체를 생성합니다. 통합이 비정상이면 배포 작업은 프로비저닝 중에 Active Directory 단계를 건너뜁니다.

사전 요구 사항

  • Active Directory 통합에는 Active Directory 서버에 대한 LDAP 연결이 필요합니다.
  • vCenter 온-프레미스와 Active Directory 통합을 구성하는 경우 확장성 클라우드 프록시를 사용하여 ABX 통합을 구성해야 합니다. 확장성 > 작업 > 통합을 선택하고 확장성 작업 온-프레미스를 선택합니다.
  • 클라우드에서 Active Directory와의 통합을 구성하는 경우에는 Microsoft Azure 또는 Amazon Web Services 계정이 있어야 합니다.
  • Active Directory 통합에 사용할 수 있는 적절한 클라우드 영역과 이미지 및 버전 매핑으로 구성된 프로젝트가 있어야 합니다.
  • Active Directory 통합을 프로젝트와 연결하기 전에 Active Directory에서 원하는 OU를 사전 생성해야 합니다.
  • Active Directory 통합을 위해 구성된 사용자에게는 구성된 OU에서 컴퓨터 개체를 생성/삭제/검색할 수 있는 권한이 있어야 합니다.

프로시저

  1. 인프라 > 연결 > 통합을 선택한 다음, 새 통합을 선택합니다.
  2. Active Directory를 클릭합니다.
  3. 요약 탭에서 적절한 LDAP 호스트 및 환경 이름을 입력합니다.
    지정된 LDAP 호스트는 Active Directory 통합을 검증하는 데 사용되며 오류 또는 비가용성으로 인해 대체 호스트가 지정 및 호출되지 않으면 후속 배포에도 사용됩니다.
  4. LDAP 서버에 대한 이름과 암호를 입력합니다.
  5. 원하는 Active Directory 리소스의 루트를 지정하는 적절한 기본 DN을 입력합니다.
    참고: Active Directory 통합당 DN은 하나만 지정할 수 있습니다.
  6. 유효성 검증을 클릭하여 통합이 작동하는지 확인합니다.
  7. 이 통합의 이름과 설명을 입력합니다.
  8. 저장을 클릭합니다.
  9. 프로젝트 탭을 클릭하여 Active Directory 통합에 프로젝트를 추가합니다.
    프로젝트 추가 대화 상자에서 프로젝트 이름과 상대 DN을 선택해야 합니다. 이 DN은 [요약] 탭에 지정된 기본 DN 내에 있는 DN입니다.
  10. [확장된 옵션] 선택에서 처음 선택한 서버를 배포 중에 사용할 수 없는 경우 사용할 쉼표로 구분된 대체 호스트 목록을 제공합니다. 기본 서버는 통합의 초기 검증에 항상 사용됩니다.
    참고: 기본 호스트의 형식이 LDAP인 경우 LDAPS는 대체 호스트에 지원되지 않습니다.
  11. 연결 시간 초과 상자에 대체 서버를 시도하기 전에 초기 서버의 응답을 대기할 시간(초)을 입력합니다.
  12. 저장을 클릭합니다.

결과

이제 Active Directory와 통합된 프로젝트를 클라우드 템플릿에 연결할 수 있습니다. 이 클라우드 템플릿을 사용하여 시스템을 프로비저닝하면 지정된 Active Directory와 조직 구성 단위에서 시스템이 미리 준비됩니다.

처음에 Active Directory 통합은 사용자 제한이 거의 없는 기본 OU에 배포됩니다. OU는 Active Directory 통합을 프로젝트에 매핑할 때 기본적으로 설정됩니다. Blueprint에 FinalRelativeDN이라는 속성을 추가하여 Active Directory 배포에 대한 OU를 변경할 수 있습니다. 이 속성을 사용하면 Active Directory 배포에 사용할 OU를 지정할 수 있습니다.

formatVersion: 1
inputs: {}
resources:
  Cloud_vSphere_Machine_1:
    type: Cloud.vSphere.Machine
    properties:
      image: CenOS8
      flavor: tiny
      activeDirectory:
        finalRelativeDN: ou=test
        securityGroup: TestSecurityGroup

이전 YAML 예에 나와 있는 것처럼 사용자는 네트워크를 통해 공유 리소스에 액세스할 수 있는 적절한 사용 권한이 할당되도록 보안 그룹에 컴퓨터 계정을 추가하는 속성을 Active Directory 통합 배포에 추가할 수 있습니다. Active Directory 가상 시스템은 처음에 고정 OU에 배포되지만 시스템을 릴리스할 준비가 되면 사용자에게 적절한 정책을 사용하여 다른 OU로 이동합니다.

배포 후 컴퓨터 계정이 다른 OU로 이동하면 Cloud Assembly가 초기 OU에서 계정을 삭제하려고 시도합니다. 컴퓨터 계정 삭제는 가상 시스템이 동일한 도메인 내의 다른 OU로 이동한 경우에만 성공합니다.

다음과 같이 온-프레미스 Active Directory 통합에 대한 태그 기반 상태 점검을 구현할 수도 있습니다.

  1. 앞의 단계에 설명된 대로 Active Directory 통합을 생성합니다.
  2. 프로젝트 탭을 클릭하여 Active Directory 통합에 프로젝트를 추가합니다.
  3. [프로젝트 추가] 대화 상자에서 프로젝트 이름과 상대 DN을 선택합니다. 상대 DN은 지정된 기본 DN 내에 있어야 합니다.

    이 대화 상자에는 클라우드 템플릿에서 Active Directory 구성을 제어할 수 있는 두 개의 스위치가 있습니다. 이 두 스위치는 기본적으로 모두 꺼져 있습니다.

    • 재정의 - 이 스위치를 사용하면 클라우드 템플릿의 Active Directory 속성, 특히 상대 DN을 재정의할 수 있습니다. 스위치를 켜면 클라우드 템플릿의 relativeDN 속성에 지정된 OU를 변경할 수 있습니다. 프로비저닝되면 시스템이 클라우드 템플릿의 relativeDN 속성에 지정된 OU에 추가됩니다. 다음 예는 이 속성이 표시되는 클라우드 템플릿 계층을 보여줍니다.
      activeDirectory:
     relativeDN: OU=ad_integration_machine_override
    • 무시 - 이 스위치를 사용하면 프로젝트에 대한 Active Directory 구성을 무시할 수 있습니다. 스위치를 켜면 연결된 가상 시스템에 대해 ignoreActiveDirectory라는 속성이 클라우드 템플릿에 추가됩니다. 이 속성을 true로 설정하면 배포 시 시스템이 Active Directory에 추가되지 않습니다.
  4. 적절한 태그를 추가합니다. 이러한 태그는 Active Directory 정책이 적용될 수 있는 클라우드 영역에 적용됩니다.
  5. [저장]을 클릭합니다.

Active Directory 통합의 상태는 Cloud Assembly인프라 > 연결 > 통합 페이지에 있는 각 통합에 대해 표시됩니다.

클라우드 템플릿을 사용하여 프로젝트를 Active Directory 통합과 연결할 수 있습니다. 이 템플릿을 사용하여 시스템을 프로비저닝하면 지정된 Active Directory와 OU에서 시스템이 미리 준비됩니다.