Home > Windows にまつわる e.t.c.

AWS Microsoft AD での片方向信頼関係の使い方


オンプレの AD DS と AWS の Microsoft AD 間で片方向信頼関係を結ぶ
http://www.vwnet.jp/Windows/Other/2017020601/AWS_MSAD_trust.htm

こいつの続きです。

オンプレの AD DS と AWS Microsoft AD 間で結んだ片方向信頼関係を使った認証の一例として、Windows Server EC2 インスタンスに対するリモート デスクトップ ログオン許可を設定してみます。

 

想定環境

■ オンプレ環境

ドメイン名
corp.contoso.internal

■ AWS Microsoft AD 環境

ドメイン名
adtest.contoso.internal

DNS Address
172.31.12.165
172.31.26.28

 

オンプレ側での準備

片方向信頼関係を結ぶと、AWS 側でオンプレ AD のアカウントやセキュリティグループを使えるようになります。

今回は、セキュリティグループ「CorpAdmins」のメンバーに対して、ローカル Administators 権限を与えて RDP 接続を許可する設定をします。

オンプレ側で、セキュリティグループ CorpAdmins を作成し、ドメインアカウントをメンバーに加えます。(今回の例では corp\mura)

(普通のアカウント管理なので、手順/キャプチャーは省略)

 

Windows Server EC2 インスタンスの Microsoft AD ドメイン参加

Microsoft AD は Windows Server AD DS そのものなので、ドメインに参加する Windows Server の DNS を DNS Address に向けます。

 

DNS 設定が出来たらドメイン参加します。

ドメイン参加は GUI より PowerShell の方が簡単なので、管理権限 で PowerShell プロンプトを開き、以下のように入力しドメインメンバーにします。

Add-Computer <Microsoft AD ドメイン名> -Credential <Microsoft ADドメインNetBIOS名\admin> -Restart

 

Administrators セキュリティグループにオンプレ AD セキュリティグループを入れる

Microsoft AD のドメインメンバーになると、オンプレ AD DS と信頼関係を結んでいるので、ビルトインセキュリティグループにオンプレ AD のメンバーやセキュリティグループを入れることが出来ます。

今回は Administrators セキュリティグループに Corp\CorpAdmins セキュリティグループを入れます。

オンプレ AD の管理権限を持ったアカウントで認証する

Corp のセキュリティグループが追加された

 

 

オンプレ AD アカウントでリモートデスクトップ接続してみる

信頼関係を結んでいる場合は、明示的にドメインを指定したアカウント(ドメイン名\ユーザー名)で認証をします。
今回の場合は corp\mura でリモートデスクトップ接続します。

普通にリモートデスクトップ接続できますね。

ログオン状態を見ると、情報を見るとログオンユーザーは corp\mura ですが、このサーバーが所属しているドメインは adtest.contoso.internal になっています。

所属していセキュリティグループを見ると、ローカル Administrators(BUILTIN\Administrators)と、CORP\CorpAdmins に所属しているのがわかります。

 

このように片方向信頼関係を結べばもオンプレ AD のアカウントを使用して認証することができるようになります。

片方向信頼関係なので、Microsoft AD にアカウント作成しても、オンプレ AD で認証はされないのでセキュリティを維持できます。
(双方向信頼関係だと、Microsoft AD に作成したアカウントが、オンプレ AD で認証されてしまうので危険です)

 

関連情報

オンプレの AD DS と AWS の Microsoft AD 間で片方向信頼関係を結ぶ
http://www.vwnet.jp/Windows/Other/2017020601/AWS_MSAD_trust.htm

AWS Microsoft AD を操作する
http://www.vwnet.jp/Windows/Other/2017020801/ManageMSAD.htm

AWS の Web ログオンをオンプレ ドメイン コントローラーと連携させる
http://www.vwnet.jp/Windows/Other/2017021701/AWSADConnector.htm

オンプレ ドメイン コントローラーと連携させた AWS の Web ログオンを MFA 対応にする
http://www.vwnet.jp/Windows/Other/2017022701/ADDS_AWS_MFA.htm

 

 

back.gif (1980 バイト)

home.gif (1907 バイト)

Copyright © MURA All rights reserved.