Cloud Assembly ondersteunt integratie met Active Directory-servers om out-of-the-box computeraccounts te maken in een opgegeven organisatie-eenheid (OU) binnen een Active Directory-server voordat u een virtuele machine inricht. Active Directory ondersteunt een LDAP-verbinding met de Active Directory-server.
Een Active Directory-beleid dat is gekoppeld aan een project wordt toegepast op alle virtuele machines die binnen het bereik van dat project zijn ingericht. Gebruikers kunnen een of meer labels opgeven die worden gebruikt om het beleid selectief toe te passen op virtuele machines die worden ingericht in de cloudzones met overeenkomende capaciteitstags.
WORKSTATION_TRUST_ACCOUNT 0x1000 PASSWD_NOTREQD (No password is required) 0x0020
Bij implementaties op locatie kunt u met Active Directory-integratie een functie voor gezondheidscontrole instellen die de status van de integratie en de onderliggende ABX-integratie waarop deze berust weergeeft, inclusief de vereiste uitbreidingscloudproxy. Voordat u een Active Directory-beleid toepast, controleert Cloud Assembly de status van de onderliggende integraties. Als de integratie in orde is, gaat Cloud Assembly door met het maken van de geïmplementeerde computerobjecten in de opgegeven Active Directory. Als de integratie ongezond is, slaat de implementatiebewerking de fase Active Directory over tijdens de provisioning.
Voorwaarden
- Voor Active Directory-integratie is een LDAP-verbinding met de Active Directory-server vereist.
- Als u een Active Directory-integratie met vCenter op locatie configureert, moet u een ABX-integratie met een uitbreidingscloudproxy configureren. Selecteer en kies Uitbreidingsacties op locatie.
- Als u een integratie met Active Directory in de cloud configureert, moet u een Microsoft Azure- of Amazon Web Services-account hebben.
- U moet een project dat is geconfigureerd met de juiste cloudzones en image- en soorttoewijzingen hebben voor gebruik met de Active Directory-integratie.
- De gewenste organisatie-eenheid in uw Active Directory moet vooraf worden gemaakt voordat u uw Active Directory-integratie met een project koppelt.
- De gebruiker die is geconfigureerd voor de Active Directory-integratie moet rechten hebben om computerobjecten in de geconfigureerde OU te maken/verwijderen/zoeken.
Procedure
resultaten
U kunt het project met Active Directory-integratie nu aan een cloudsjabloon koppelen. Wanneer een machine wordt ingericht met deze cloudsjabloon wordt deze vooraf klaargezet in de opgegeven Active Directory en Organisatie-eenheid.
Active Directory-integraties worden in eerste instantie geïmplementeerd in een standaard-OU met weinig beperkingen voor gebruikers. Deze organisatie-eenheid wordt standaard ingesteld wanneer u een Active Directory-integratie aan een project toewijst. U kunt een eigenschap met de naam FinalRelativeDN
toevoegen aan blueprints om de OU voor Active Directory-implementaties te wijzigen. Met deze eigenschap kunt u opgeven welke OU u wilt gebruiken voor een Active Directory-implementatie.
formatVersion: 1 inputs: {} resources: Cloud_vSphere_Machine_1: type: Cloud.vSphere.Machine properties: image: CenOS8 flavor: tiny activeDirectory: finalRelativeDN: ou=test securityGroup: TestSecurityGroup
Zoals u in het voorgaande YAML-voorbeeld ziet, kunnen gebruikers een eigenschap toevoegen aan de implementatie van een Active Directory-integratie waarmee een computeraccount aan de beveiligingsgroep wordt toegevoegd om de juiste rechten te verlenen voor de toegang tot de resources die via een netwerk worden gedeeld. De virtuele Active Directory-machine wordt in eerste instantie in een vaste organisatie-eenheid geïmplementeerd, maar zodra de machine kan worden vrijgegeven, wordt deze overgedragen naar een andere organisatie-eenheid die het juiste beleid voor de gebruikers heeft.
Als computeraccounts na implementatie naar een andere organisatie-eenheid worden verplaatst, probeert Cloud Assembly de accounts op de oorspronkelijke OU te verwijderen. Het verwijderen van computeraccounts lukt alleen als de virtuele machines naar een andere organisatie-eenheid binnen hetzelfde domein worden verplaatst.
U kunt ook als volgt een op tags gebaseerde gezondheidscontrole implementeren voor Active Directory-integraties op locatie.
- Maak een Active Directory-integratie zoals beschreven in de voorgaande stappen.
- Klik op het tabblad Project om een project toe te voegen aan de Active Directory-integratie.
- Selecteer een projectnaam en een gerelateerde DN in het dialoogvenster Projecten toevoegen. De gerelateerde DN moet binnen de opgegeven Basis-DN bestaan.
Dit dialoogvenster bevat twee schakelaars waarmee u de Active Directory-configuratie op basis van cloudsjablonen kunt beheren. Beide schakelaars zijn standaard uitgeschakeld.
- Overschrijven - Met deze schakelaar kunt u Active Directory-eigenschappen overschrijven, in het bijzonder de relatieve DN in cloudsjablonen. Wanneer deze schakelaar is ingeschakeld, kunt u de OU wijzigen die is opgegeven in de eigenschap
relativeDN
in de cloudsjabloon. Wanneer de machine is ingericht, wordt deze toegevoegd aan de OU die is opgegeven in de eigenschaprelativeDN
in de cloudsjabloon. In het volgende voorbeeld ziet u de hiërarchie van de cloudsjablonen waarin deze eigenschap voorkomt.activeDirectory: relativeDN: OU=ad_integration_machine_override
- Negeren - Met deze schakelaar kunt u de Active Directory-configuratie voor het project negeren. Wanneer deze schakelaar is ingeschakeld, wordt een eigenschap toegevoegd aan de cloudsjabloon met de naam
ignoreActiveDirectory
voor de gekoppelde virtuele machine. Wanneer deze eigenschap op waar is ingesteld, betekent dit dat de machine niet wordt toegevoegd aan de Active Directory wanneer deze wordt geïmplementeerd.
- Overschrijven - Met deze schakelaar kunt u Active Directory-eigenschappen overschrijven, in het bijzonder de relatieve DN in cloudsjablonen. Wanneer deze schakelaar is ingeschakeld, kunt u de OU wijzigen die is opgegeven in de eigenschap
- Voeg geschikte tags toe. Deze tags zijn van toepassing op de cloudzone waarop het Active Directory-beleid van toepassing is.
- Klik op Opslaan.
De status van de Active Directory-integratie wordt weergegeven voor elke integratie op de pagina Cloud Assembly.
inU kunt het project met Active Directory-integratie koppelen aan een cloudsjabloon. Wanneer een machine wordt ingericht met deze sjabloon, wordt deze vooraf klaargezet in de opgegeven Active Directory en organisatie-eenheid.