Cloud Assembly поддерживает интеграцию с серверами Active Directory, чтобы поддерживать готовый режим создания учетных записей компьютеров в указанном организационном подразделении (OU) на сервере Active Directory до подготовки виртуальной машины. Active Directory поддерживает подключение LDAP к серверу Active Directory.

Политика Active Directory, связанная с проектом, применяется ко всем виртуальным машинам, которые были подготовлены в рамках этого проекта. Пользователи могут указать один или несколько тегов для выборочного применения политики к виртуальным машинам, которые подготовлены для облачных зон с соответствующими тегами возможностей.

При создании интеграции Active Directory некоторые свойства устанавливаются во время создания объекта компьютера в Active Directory и их нельзя изменить. В частности, нельзя изменить следующие свойства по умолчанию.
WORKSTATION_TRUST_ACCOUNT	0x1000
PASSWD_NOTREQD (No password is required)	0x0020

Для локальных развертываний интеграция Active Directory позволяет настроить функцию проверки работоспособности, которая показывает состояние интеграции, и базовую интеграцию ABX, на которой она основана, включая требуемый облачный прокси-сервер расширяемости. Прежде чем применить политику Active Directory, Cloud Assembly проверяет состояние базовых интеграций. Если интеграция исправна, Cloud Assembly создает развернутые объекты компьютера в заданном каталоге Active Directory. Если интеграция неисправна, процедура развертывания пропускает этап Active Directory во время предоставления.

Необходимые условия

  • Для интеграции Active Directory требуется подключение LDAP к серверу Active Directory.
  • При настройке интеграции Active Directory в облачной среде необходимо иметь учетную запись Microsoft Azure или Amazon Web Services.
  • Необходимо иметь настроенный проект с соответствующими облачными зонами, а также сопоставления образов и конфигураций ресурсов, которые следует использовать с интеграцией Active Directory.
  • Прежде чем связать интеграцию Active Directory с проектом, необходимо предварительно создать нужное подразделение в Active Directory.
  • У пользователя, настроенного для интеграции с Active Directory, должны быть разрешения на создание, удаление или поиск объектов компьютеров в настроенном организационном подразделении.

Процедура

  1. Выберите Инфраструктура > Подключения > Интеграции и нажмите Добавить интеграцию.
  2. Щелкните Active Directory.
  3. На вкладке Сводка введите соответствующие имена узлов LDAP и среды.
    Указанный узел LDAP используется для проверки интеграции Active Directory, а также для последующих развертываний, если альтернативные узлы не указаны или не вызываются из-за ошибок или недоступности.
  4. Введите имя пользователя и пароль для сервера LDAP.
  5. Введите соответствующее базовое DN, которое указывает корневой элемент для ресурсов Active Directory.
    Примечание: Для каждой интеграции Active Directory можно указать только одно различающееся имя.
  6. Щелкните Проверить, чтобы проверить работоспособность интеграции.
  7. Введите название и описание интеграции.
  8. Нажмите Сохранить.
  9. Перейдите на вкладку Проект, чтобы добавить проект в интеграцию Active Directory.
    В диалоговом окне Добавление проектов необходимо выбрать имя проекта и относительное различающееся имя, представляющее собой различающееся имя, которое существует в базовом различающемся имени, указанном на вкладке «Сводка».
  10. В разделе «Расширенные параметры» укажите разделенный запятыми список альтернативных узлов, которые будут использоваться, если изначально выбранный сервер окажется недоступным во время развертывания. Для начальной проверки интеграции всегда используется основной сервер.
    Примечание: Если для основного узла используется формат LDAP, то для альтернативных узлов формат LDAPS не поддерживается.
  11. В поле Время ожидания подключения введите время ожидания ответа начального сервера перед попыткой использования альтернативного сервера (в секундах).
  12. Нажмите Сохранить.

Результаты

Теперь можно связать проект, для которого настроена интеграция Active Directory, с облачным шаблоном. Если компьютер подготовлен с помощью этого облачного шаблона, он предварительно сохраняется в указанном каталоге Active Directory и организационном подразделении.

Изначально развертывание интеграций Active Directory проводится в организационной единице по умолчанию с небольшими ограничениями для пользователей. Организационная единица задается по умолчанию при сопоставлении интеграции Active Directory с проектом. Чтобы изменить организационную единицу для развертываний Active Directory, в схемы элементов можно добавить свойство FinalRelativeDN. Это свойство позволяет указать организационную единицу, которая будет использоваться для развертывания Active Directory.

formatVersion: 1
inputs: {}
resources:
  Cloud_vSphere_Machine_1:
    type: Cloud.vSphere.Machine
    properties:
      image: CenOS8
      flavor: tiny
      activeDirectory:
        finalRelativeDN: ou=test
        securityGroup: TestSecurityGroup

Как показано в предыдущем примере кода YAML, пользователи могут добавить в развертывание интеграции Active Directory свойство, которое позволяет добавить учетную запись компьютера в группу безопасности для назначения соответствующих разрешений с целью доступа к общему ресурсу по сети. Развертывание виртуальной машины Active Directory изначально проводится в заданной организационной единице, но когда машина готова к выпуску, она перемещается в другую организационную единицу с соответствующей политикой, применимой к пользователям.

Если после развертывания учетная запись компьютера перемещается в другую организационную единицу, Cloud Assembly пытается удалить учетные записи в исходной организационной единице. Учетные записи компьютеров успешно удаляются только в том случае, если виртуальные машины перемещены в другую организационную единицу в пределах того же самого домена.

Также можно применить проверку работоспособности на основе тегов для локальных интеграций Active Directory, как показано ниже.

  1. Создайте интеграцию Active Directory, как описано выше.
  2. Перейдите на вкладку Проект, чтобы добавить проект в интеграцию Active Directory.
  3. В диалоговом окне «Добавление проектов» выберите имя проекта и относительное различающееся имя. Относительное различающееся имя должно существовать в указанном базовом различающемся имени.

    В этом диалоговом окне есть два переключателя, которые позволяют управлять конфигурацией Active Directory с помощью облачных шаблонов. Оба переключателя по умолчанию отключены.

    • Переопределить. Этот переключатель позволяет переопределить свойства Active Directory, в частности, относительное различающееся имя в облачных шаблонах. Если данный переключатель включен, можно изменить организационное подразделение, указанное в свойстве relativeDN в облачном шаблоне. После подготовки компьютер будет добавлен в подразделение, указанное в свойстве relativeDN в облачном шаблоне. В следующем примере показана иерархия облачного шаблона, в которой появляется данное свойство.
      activeDirectory:
           relativeDN: OU=ad_integration_machine_override
    • Игнорировать. Этот переключатель позволяет игнорировать конфигурацию Active Directory для проекта. Если данный переключатель включен, он добавляет свойство в облачный шаблон с именем ignoreActiveDirectory для связанной виртуальной машины. Если для этого свойства задано значение true, это означает, что компьютер не добавляется в Active Directory при развертывании.
  4. Добавьте соответствующие теги. Эти теги применимы к облачной зоне, к которой может применяться политика Active Directory.
  5. Щелкните «Сохранить».

Состояние интеграции Active Directory отображается для каждой интеграции на странице Инфраструктура > Подключения > Интеграции в Cloud Assembly.

Проект с интеграцией Active Directory можно связать с облачным шаблоном. Если компьютер подготовлен с помощью этого шаблона, он предварительно сохраняется в указанном каталоге Active Directory и организационном подразделении.