オンプレ ドメイン コントローラー運用をしていると、Web サービスのアカウントもオンプレの AD アカウントで認証したくなります。
MS 系のサービスは AD FS でアカウント連携できるのは良く知られていますね。
では、Amazon のサービスはどうやって連携させましょうか?
AWS の以下サービスは AD Connector を使うとオンプレの AD アカウントで認証できるようになります。
・Amazon WorkSpaces
・Amazon WorkSpaces Application
Manager
・Amazon WorkDocs
・AWS Management Console
■ オンプレ環境
ドメイン名
corp.contoso.internal
ドメインコントローラー
192.168.0.1
192.168.0.2
■ AD Connector 環境
AD Connector IP Addresses
172.31.11.21
172.31.23.115
AD Connector は以下のプロトコルを使用するので、オンプレの入り口と AWS のネットワーク ACL で宛先とプロトコルを絞ると良いでしょう。
プロトコル | ポート | 方向 ADDS/AD Connector |
DNS | UDP/53 | ← |
DNS | TCP/53 | ← |
LDAP | UDP/389 | ← |
LDAP | TCP/389 | ← |
Kerberos | UDP/88 | ← |
Kerberos | TCP/88 | ← |
オンプレドメインコントローラーでは、AD Conncter との連携で使用するアカウントを作成し、必要な権限を付与します。
今回は、以下を使用することにします。
権限付与用セキュリティグループ: AWS_Auth
連携用サービス アカウント: AWSService
■ セキュリティグループの作成と権限設定
AWS AD Connecter で使用するサービスアカウントには以下の権限が必要なので、権限付与用のセキュリティグループを作成し、権限を設定します。
・すべてのユーザー情報の読み取り
・コンピューターのドメインへの参加
セキュリティグループの作成
ドメインルートを右クリックし制御の委任
セキュリティグループの指定
権限設定
■ 連携用サービス アカウントの作成と設定
連携用サービス アカウントを作成し、権限設定したセキュリティグループに参加させます。
サービスアカウントのパスワードは初期設定のまま使い続けるので、十分セキュリティ強度の強いパスワードを設定してください。
(複雑さを満たす20文字以上のパスワードとか)
パスワード変更禁止と無期限を指定
セキュリティグループへ参加
AD Connector の作成は AWS でよくありがちな設定パターンなので、AWS に慣れていれば迷うことは無いと思います。
連携する オンプレ AD の FQDNも連携するサービスアカウント、オンプレドメコンの IP アドレス、AD Connector を生成する IP アドレス帯をしています。
サイズの Small/Large は AWS のヘルプを参照してください。
AD Connector を作成したら、ログオン画面の URL を指定します。
URL 指定が出来たら、対象サービスの設定をします。
今回は AWS Management Console
を設定します。
既にあるロールを使うか、新しいロールを作るかを選択します。
今回は新しいロールを作ります。
EC2FullAccess にしてみます。
Group を指定し、セキュリティグループ名を数文字タイプするとセキュリティグループ名が補完されるので、目的のセキュリティグループを選択します。(ユーザー名を指定することもできますが、通常運用では使わないですね)
ネストされたセキュリティグループには対応していないので、選択するセキュリティグループはユーザーアカウントが入っているセキュリティグループを選択する必要があります。
CorpAdmins セキュリティグループに入っているメンバーに対して AWS Web アプリレーションのアクセス権限を与えたい場合は、以下のようにします。
設定が完了すると、アクセス用の URL が生成されるので、利用者はこの URL をアクセスし、自分の ID(ドメイン名は不要)とパスワードを指定して Web サービスにログオンします。
AWS Management Console はメニュー表示コントロールがされていないので、全ての項目が表示されますが、権限の無いメニューを開くとエラーになります。
URL アクセスをしたときに、エラーになることがありますが、これは AWS 側がまだ設定展開している真っ最中ですので、しばらく(5-10分くらい)待つと正常アクセスができるようになります。
AD Connector を削除する場合は、設定されているすべてのサービス設定を削除し、最後に AD Connector を削除します。
■ ルールの削除
■ アクセスの削除
■ AD Connector の削除
AD Connector を使った認証でも MFA が使えますが、それはまた後日書きます。
オンプレの AD DS と AWS の Microsoft AD 間で片方向信頼関係を結ぶ
http://www.vwnet.jp/Windows/Other/2017020601/AWS_MSAD_trust.htm
AWS Microsoft AD での片方向信頼関係の使い方
http://www.vwnet.jp/Windows/Other/2017020701/UseMSAD_trust.htm
AWS Microsoft AD を操作する
http://www.vwnet.jp/Windows/Other/2017020801/ManageMSAD.htm
オンプレ ドメイン コントローラーと連携させた AWS の Web ログオンを MFA 対応にする
http://www.vwnet.jp/Windows/Other/2017022701/ADDS_AWS_MFA.htm
パケットキャプチャーソフトをインストールせずにパケットキャプチャーする方法
http://www.vwnet.jp/Windows/WS16/2017013001/PacketCapture.htm
Copyright © MURA All rights reserved.