Cloud Assembly ondersteunt integratie met Active Directory-servers om out-of-the-box computeraccounts te maken in een opgegeven organisatie-eenheid (OU) binnen een Active Directory-server voordat u een virtuele machine inricht. Active Directory ondersteunt een LDAP-verbinding met de Active Directory-server.

Een Active Directory-beleid dat is gekoppeld aan een project wordt toegepast op alle virtuele machines die binnen het bereik van dat project zijn ingericht. Gebruikers kunnen een of meer labels opgeven die worden gebruikt om het beleid selectief toe te passen op virtuele machines die worden ingericht in de cloudzones met overeenkomende capaciteitstags.

Wanneer een Active Directory-integratie wordt gemaakt, worden bepaalde eigenschappen ingesteld tijdens het maken van het computerobject in Active Directory en kunnen deze niet worden gewijzigd. Met name de volgende standaardeigenschappen kunnen niet worden gewijzigd:
WORKSTATION_TRUST_ACCOUNT	0x1000
PASSWD_NOTREQD (No password is required)	0x0020

Bij implementaties op locatie kunt u met Active Directory-integratie een functie voor gezondheidscontrole instellen die de status van de integratie en de onderliggende ABX-integratie waarop deze berust weergeeft, inclusief de vereiste uitbreidingscloudproxy. Voordat u een Active Directory-beleid toepast, controleert Cloud Assembly de status van de onderliggende integraties. Als de integratie in orde is, gaat Cloud Assembly door met het maken van de geïmplementeerde computerobjecten in de opgegeven Active Directory. Als de integratie ongezond is, slaat de implementatiebewerking de fase Active Directory over tijdens de provisioning.

Voorwaarden

  • Voor Active Directory-integratie is een LDAP-verbinding met de Active Directory-server vereist.
  • Als u een integratie met Active Directory in de cloud configureert, moet u een Microsoft Azure- of Amazon Web Services-account hebben.
  • U moet een project dat is geconfigureerd met de juiste cloudzones en image- en soorttoewijzingen hebben voor gebruik met de Active Directory-integratie.
  • De gewenste organisatie-eenheid in uw Active Directory moet vooraf worden gemaakt voordat u uw Active Directory-integratie met een project koppelt.
  • De gebruiker die is geconfigureerd voor de Active Directory-integratie moet rechten hebben om computerobjecten in de geconfigureerde OU te maken/verwijderen/zoeken.

Procedure

  1. Selecteer Infrastructuur > Verbindingen > Integraties en dan Nieuwe integratie.
  2. Klik op Active Directory.
  3. Voer op het tabblad Samenvatting de juiste LDAP-host- en omgevingsnamen in.
    De opgegeven LDAP-host wordt gebruikt om de Active Directory-integratie te valideren en wordt ook gebruikt voor volgende implementaties als er geen alternatieve hosts worden opgegeven en aangeroepen vanwege fouten of onbeschikbaarheid.
  4. Voer de gebruikersnaam en het wachtwoord voor de LDAP-server in.
  5. Voer de juiste Base DN in die de root opgeeft voor de gewenste Active Directory-resources.
    Opmerking: U kunt slechts één DN per Active Directory-integratie opgeven.
  6. Klik op Valideren om er zeker van te zijn dat de integratie werkt.
  7. Voer een naam en een beschrijving in voor deze integratie.
  8. Klik op Opslaan.
  9. Klik op het tabblad Project om een project toe te voegen aan de Active Directory-integratie.
    In het dialoogvenster Projecten toevoegen moet u een projectnaam en een gerelateerde DN selecteren. Dit is een DN die bestaat binnen de Basis-DN die is opgegeven op het tabblad Samenvatting.
  10. Geef onder de selectie Uitgebreide opties een door komma's gescheiden lijst op van alternatieve hosts die worden gebruikt als de aanvankelijk geselecteerde server niet beschikbaar is tijdens de implementatie. De primaire server wordt altijd gebruikt voor de eerste validatie van de integratie.
    Opmerking: Als de primaire host een LDAP-indeling heeft, wordt LDAPS niet ondersteund voor alternatieve hosts.
  11. Voer in het vak Verbindingstime-out de tijd in die moet worden gewacht op de reactie van de oorspronkelijke server voordat het via een alternatieve server wordt geprobeerd.
  12. Klik op Opslaan.

resultaten

U kunt het project met Active Directory-integratie nu aan een cloudsjabloon koppelen. Wanneer een machine wordt ingericht met deze cloudsjabloon wordt deze vooraf klaargezet in de opgegeven Active Directory en Organisatie-eenheid.

Active Directory-integraties worden in eerste instantie geïmplementeerd in een standaard-OU met weinig beperkingen voor gebruikers. Deze organisatie-eenheid wordt standaard ingesteld wanneer u een Active Directory-integratie aan een project toewijst. U kunt een eigenschap met de naam FinalRelativeDN toevoegen aan blueprints om de OU voor Active Directory-implementaties te wijzigen. Met deze eigenschap kunt u opgeven welke OU u wilt gebruiken voor een Active Directory-implementatie.

formatVersion: 1
inputs: {}
resources:
  Cloud_vSphere_Machine_1:
    type: Cloud.vSphere.Machine
    properties:
      image: CenOS8
      flavor: tiny
      activeDirectory:
        finalRelativeDN: ou=test
        securityGroup: TestSecurityGroup

Zoals u in het voorgaande YAML-voorbeeld ziet, kunnen gebruikers een eigenschap toevoegen aan de implementatie van een Active Directory-integratie waarmee een computeraccount aan de beveiligingsgroep wordt toegevoegd om de juiste rechten te verlenen voor de toegang tot de resources die via een netwerk worden gedeeld. De virtuele Active Directory-machine wordt in eerste instantie in een vaste organisatie-eenheid geïmplementeerd, maar zodra de machine kan worden vrijgegeven, wordt deze overgedragen naar een andere organisatie-eenheid die het juiste beleid voor de gebruikers heeft.

Als computeraccounts na implementatie naar een andere organisatie-eenheid worden verplaatst, probeert Cloud Assembly de accounts op de oorspronkelijke OU te verwijderen. Het verwijderen van computeraccounts lukt alleen als de virtuele machines naar een andere organisatie-eenheid binnen hetzelfde domein worden verplaatst.

U kunt ook als volgt een op tags gebaseerde gezondheidscontrole implementeren voor Active Directory-integraties op locatie.

  1. Maak een Active Directory-integratie zoals beschreven in de voorgaande stappen.
  2. Klik op het tabblad Project om een project toe te voegen aan de Active Directory-integratie.
  3. Selecteer een projectnaam en een gerelateerde DN in het dialoogvenster Projecten toevoegen. De gerelateerde DN moet binnen de opgegeven Basis-DN bestaan.

    Dit dialoogvenster bevat twee schakelaars waarmee u de Active Directory-configuratie op basis van cloudsjablonen kunt beheren. Beide schakelaars zijn standaard uitgeschakeld.

    • Overschrijven - Met deze schakelaar kunt u Active Directory-eigenschappen overschrijven, in het bijzonder de relatieve DN in cloudsjablonen. Wanneer deze schakelaar is ingeschakeld, kunt u de OU wijzigen die is opgegeven in de eigenschap relativeDN in de cloudsjabloon. Wanneer de machine is ingericht, wordt deze toegevoegd aan de OU die is opgegeven in de eigenschap relativeDN in de cloudsjabloon. In het volgende voorbeeld ziet u de hiërarchie van de cloudsjablonen waarin deze eigenschap voorkomt.
      activeDirectory:
           relativeDN: OU=ad_integration_machine_override
    • Negeren - Met deze schakelaar kunt u de Active Directory-configuratie voor het project negeren. Wanneer deze schakelaar is ingeschakeld, wordt een eigenschap toegevoegd aan de cloudsjabloon met de naam ignoreActiveDirectory voor de gekoppelde virtuele machine. Wanneer deze eigenschap op waar is ingesteld, betekent dit dat de machine niet wordt toegevoegd aan de Active Directory wanneer deze wordt geïmplementeerd.
  4. Voeg geschikte tags toe. Deze tags zijn van toepassing op de cloudzone waarop het Active Directory-beleid van toepassing is.
  5. Klik op Opslaan.

De status van de Active Directory-integratie wordt weergegeven voor elke integratie op de pagina Infrastructuur > Verbindingen > Integraties in Cloud Assembly.

U kunt het project met Active Directory-integratie koppelen aan een cloudsjabloon. Wanneer een machine wordt ingericht met deze sjabloon, wordt deze vooraf klaargezet in de opgegeven Active Directory en organisatie-eenheid.