Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

AWS Black Belt Techシリーズ AWS Directory Service

9 991 vues

Publié le

AWS Black Belt Tech Webinar 2014
(旧マイスターシリーズ)

AWS Directory Service

Publié dans : Technologie
  • Soyez le premier à commenter

AWS Black Belt Techシリーズ AWS Directory Service

  1. 1. AWS Directory Service AWS Black Belt Tech Webinar 2014 (旧マイスターシリーズ) アマゾンデータサービスジャパン株式会社 ソリューションアーキテクト 渡邉源太
  2. 2. Agenda • Active Directory on AWS – 基礎からわかるActive Directory – Active Directory on AWS構成のシナリオ – ADFSとIAMによるID連携 • AWS Directory Service – ディレクトリタイプの選択 – ディレクトリの管理理 – 多要素認証(MFA)の設定
  3. 3. Active Directory on AWS
  4. 4. ディレクトリとは • ユーザに関わる各種情報を保管する仕組み – ユーザ名 – 姓・名、部署、電話番号 – メールアドレス – パスワード – グループ など • ツリー状の構成とする事が多いことから、 ディレクトリと呼ばれる • 関連⽤用語:LDAP、Active Directory、OpenLDAP
  5. 5. Active Directoryとは • Windowsネットワークの基本的な認証とセキュリティ 基盤 • Windows 2000から標準機能として実装されたディレ クトリサービス • NTドメインからの反省省をふまえたアーキテクチャー – ドメイン間の階層構造がとれない – 同⼀一ネットワーク上に同じコンピュータ名が共存できない – Security Account Manager(SAM)データベースの最⼤大容量量が 40MBまで
  6. 6. Active Directoryの必要性 • IDとアクセス管理理 – 運⽤用効率率率の向上 – コンプライアンスの推進 – セキュリティの強化 – エクストラネットへの拡張 • アプリケーションによる使⽤用 – Exchange/SharePoint/SQL Server – ファイル共有・パッチ管理理など Windowsシステムでは、Active Directoryがほぼ必須
  7. 7. Active Directoryサービス • Active Directoryドメインサービス (AD DS) • Active Directory フェデレーションサービス(ADFS) • Active Directory 証明書サービス (AD CS) • Active Directory ライトウェイトディレクトリサービス (AD LDS) • Active Directory Rights Managementサービス (AD RMS)
  8. 8. Active Directoryドメインサービス(AD DS) • 名前解決(DNS) • ディレクトリサービス(LDAP) • ユーザー認証(Kerberosバージョン5) • クライアント管理理(SMB:ファイル共有)
  9. 9. 基本的な⽤用語 • フォレスト – DNSの名前階層に基づく1つ以上のドメインの階層的集合 • ドメイン – ユーザーとコンピュータの管理理単位 – DNSの名前階層をLANに応⽤用したもの • 組織単位(OU) – ユーザーとコンピュータを管理理する論論理理的な階層 • サイト – 物理理ネットワークに基づく境界
  10. 10. ドメインとフォレスト • Active Directoryの論論理理構造 – ドメイン・ツリー間で信頼関係を結んだものがフォレスト – フォレスト内のドメインでは、「推移的な信頼関係」が結ばれる 信頼関係domain.local 信頼関係 jp.domain.local us.domain.local ドメイン・ツリー 信頼関係domain.local 信頼関係 jp.domain.local us.domain.local ドメイン・ツリー フォレスト
  11. 11. OU(組織単位)の構造 • OU(組織単位)の中にユーザー、コンピュータ、グ ループなどのオブジェクトが配置される • グループポリシーの適⽤用範囲 Active Directoryドメイン 営業部 OU 経理部 OU Member 001 Member 002 Member 003 Member 004 Member 101 Member 102 Member 103 Member 104
  12. 12. Flexible Single Master Operation(FSMO) • Active Directoryドメインコントローラ(DC)には FSMOと呼ばれる特別な役割があります。 • スキーマ・マスタ – Active Directoryのデータベーススキーマを管理理 • ドメイン名前付け操作マスタ – フォレストにおけるドメインの追加/削除 • RIDマスタ – オブジェクトの固有識識別に使⽤用するSIDの⼀一部、RIDを管理理 • PDCエミュレータ – NTドメインのプライマリドメインコントローラをエミュレート • インフラストラクチャ・マスタ – グループに所属しているユーザーアカウントの情報を管理理
  13. 13. ドメイン コントローラー(DC)配置 • 新規のActive Directory ドメインサービスの構築 – ドメインコントローラーをEC2上に構築 • アプリケーションで集中化されたクラウドベースの認証が必要な場合 • 既存のActive Directory環境をAWSに拡張 – 既存(オンプレミス)のドメインコントローラーを利利⽤用
  14. 14. AWS 上に DC を配置する場合 • 新規のActive Directory ドメインサービスの構築 Availability Zone Availability Zone Direct Connect VPN Connection DC (FSMO1) クライアント DC (FSMO2) ・AZ を利利⽤用した冗⻑⾧長化 ・リストア⽅方法について要検討
  15. 15. 既存DCを利利⽤用し、ハイブリッド運⽤用する場合 • 既存のActive Directory環境をAWSに拡張 DC (FSMO)DCDC Availability Zone Availability Zone Direct Connect VPN Connection (FSMO) クライアント AZ を利利⽤用した冗⻑⾧長化 FSMO の配置場所を選定(AWS もしくは⾃自社環境)
  16. 16. DNS の配置 • 障害発⽣生時にも名前解決ができる状態を確保する DNSDNSDNS Availability Zone Availability Zone Direct Connect VPN Connection DC (FSMO) DCDC (FSMO) クライアント この障害の例例では、⾃自分⾃自⾝身に DNS がイ ンストールされていないと名前解決ができ ない状態に陥る。名前解決ができる状態を 確保することで DC の孤⽴立立を防ぐ。
  17. 17. 参照先 DNS の指定 • NIC の TCP/IP の設定 – 参照先 DNS には、DC 上の DNS を指定する – AWS が提供する DNS は、(代替 DNS としても)参照しない • DC の参照ができなくなり、ログオン障害が発⽣生する恐れ • DC 間の複製障害が発⽣生する恐れ • DC 上の DNS のフォワーダーに AWS が提供する DNS を設定 インターネットの名前解決は AWS が提供する DNS にフォワード
  18. 18. TCP/IP の詳細設定(DNS) • 既定で DNS サフィックスに AWS 関連のものが追加されている • 追加されているサフィックスの例例 – ap-‐‑‒northeast-‐‑‒1.ec2-‐‑‒utilities.amazonaws.com – us-‐‑‒east-‐‑‒1.ec2-‐‑‒utilities.amazonaws.com – ec2-‐‑‒utilities.amazonaws.com – ec2.internal – ap-‐‑‒northeast-‐‑‒1.compute.internal
  19. 19. DHCP Options Set の利利⽤用 ドメインの FQDN を指定 DC 上の DNS を指定 NTP サーバーは設定しない(PDC エミュレーター同期) WINS を使⽤用する際に指定 WINS を使⽤用する際に 2 を設定
  20. 20. バックアップ • 従来のバックアップの⼿手法を使⽤用 – VSS (Volume Shadow Copy Service)に 対応したバックアップ ツールを使⽤用する • Windows Server バックアップ • Wbadmin.exe – Tombstone Lifetime の有効期限に注意 • EC2 スナップショットの利利⽤用 – バックアップ ツールによって取得されたバックアップ データが保管さ れているボリュームのスナップショットを取得し、データを保全 – DC のシステム全体のスナップショットについては、次ページの留留意点 について⼗十分考慮する必要がある
  21. 21. リストア時の注意 • DC のシステム全体のスナップショットをリストアに使⽤用しない – USN ロールバックを誘発 – ロールバックが発⽣生した DC はドメイン環境から隔離離され、複製パー トナーとして⾒見見なされなくなる 仮想化ドメイン コントローラーのバックアップと復復元に関する考慮事項 http://technet.microsoft.com/ja-jp/library/dd363545%28v=ws.10%29.aspx
  22. 22. Active Directoryフェデレーションサービス(ADFS) • セキュリティで保護されたID連携(フェデレーション) とWebシングルサインオン(SSO)を提供 • AD DS/AD LDSで認証されたユーザーに対してセキュ リティトークンを発⾏行行(SAML 1.1/2.0) • Office 365やGoogle Appsへのシングルサインオン (SSO)にも利利⽤用される – http://community.office365.com/ja-‐‑‒jp/b/ office_̲365_̲community_̲blog/archive/2012/01/14/adfs-‐‑‒in-‐‑‒ office-‐‑‒365.aspx
  23. 23. IAMと Active Directory の認証連携 • AWS IAM の SAML 2.0 サポート • Active Directory と SAML 2.0 による ID 連携が可能 – Active Directoryフェデレー ションサービス を利利⽤用 • Active Directory の ユーザーとグループを認証 と認可に使⽤用 参考情報:Enabling Federation to AWS using Windows Active Directory, ADFS, and SAML 2.0 http://blogs.aws.amazon.com/security/post/Tx71TWXXJ3UI14/Enabling-Federation-to-AWS-using-Windows-Active- Directory-ADFS-and-SAML-2-0
  24. 24. グループのマッピング • AWS の操作権限の単位を セキュリティ グループとして作成 • IAM ロールを作成し、AWS の操作 権限を IAM ポリシーで定義 セキュリティ グループ(AD)と IAM ロールをマッピングが可能
  25. 25. AWS Directory Service
  26. 26. AWS Directory Serviceでできること • AWSクラウド上にスタンドアロンのディレクトリ を新規に作成 • 既存の企業内の認証を利利⽤用して: – AWSアプリケーションへのアクセス(Amazon WorkSpaces, Amazon Zocaloなど) – IAMロールによるAWS Management Consoleへのアクセス
  27. 27. ディレクトリタイプの選択 • Simple AD – フルマネージドのディレクトリ サービス – Samba 4 Active Directory互換サーバーを利利⽤用 – AWS上に独⽴立立したドメインを作成 • AD Connecter – 既存のディレクトリ サービスへの接続 – オンプレミスまたは VPC 上のドメインを指定 – 多要素認証(MFA)をサポート
  28. 28. ディレクトリのサイズ • Simple AD – Small:最⼤大で1,000のユーザー、コンピュータ、グループ、その他 のオブジェクト – Large:最⼤大で10,000のユーザー、コンピュータ、グループ、その 他オブジェクト • AD Connector – Small:最⼤大で10,000のユーザー、コンピュータ、グループ、その 他のオブジェクトへの接続 – Large:最⼤大で100,000のユーザー、コンピュータ、グループなど のオブジェクトへの接続
  29. 29. Simple AD • スタンドアロンのマネージド型ディレクトリ – Samba 4 Active Directory互換サーバーを利利⽤用 – AWSアプリケーション(Amazon WorkSpaces/Amazon Zocalo)の利利⽤用をサポート • ⼀一般的なActive Directoryの機能をサポート – ユーザーアカウント/グループのメンバーシップ/EC2 Windowsインスタンスのドメイン参 加/KerberosベースのSSO/グループポリシー • 既存のActive Directory管理理ツールを利利⽤用した管理理が可能 – Microsoft 管理理コンソール(MMC)スナップイン、Active Directory Services Interface (ADSI)、ADSIEdit、および dsadd や dsmod コマンドラインツール
  30. 30. Simple ADの作成 • ドメインと管理理者アカウントを作成する – Directory DNS – NetBIOS Name – Administrator Password – Directory Size • ディレクトリを作成するVPCを選択 – VPCには異異なる Availability Zoneに 2つ以上の Subnet が 存在する必要がある
  31. 31. ディレクトリを作成する • アジアパシフィック(東京)リージョンに変更更してディレクトリを 作成します。 1. リージョン選択メニュー 2. [Asia Pacific (Tokyo)] を選択 3. [Get Started Now] を選択
  32. 32. ディレクトリタイプの選択 • Create a Simple ADを選択 [Create Simple AD] を選択
  33. 33. Simple ADの作成(1/2) 1. [Directory DNS] を⼊入⼒力力 2. [NetBIOS name] を⼊入⼒力力 (オプション) 3. [Administrator password] を⼊入 ⼒力力 4. [Small] を選択
  34. 34. Simple ADの作成(2/2) • 既存のVPCを選択、または新規にVPCとSubnet を作成 1. [VPC] を選択 2.2つの [Subnets] を選択 3. [Next Step]をクリック
  35. 35. ⼊入⼒力力内容の確認 [Create Simple AD]をクリック
  36. 36. Simple ADの確認(1/2) • [Status]が[Active]になれば作成完了了
  37. 37. Simple ADの確認(2/2) • [Directory ID]をクリックして[Directory Details]を確認
  38. 38. 作成されたSimple AD • ドメインコントローラはMulti-‐‑‒AZ構成で複数のSubnetに展開され る – EC2インスタンスとしては表⽰示されない • 標準的なActive Directoryの管理理ツールから操作可能 – イベントビューア – Active Directoryユーザとコンピュータ Domain Controller Domain Controller Availability Zone Availability Zone Virtual Private Cloud
  39. 39. ディレクトリの管理理 • ドメインに参加させたEC2インスタンスにActive Directory管理理ツールをインストールすることにより ディレクトリの管理理が可能 – %SystemRoot%system32dsa.msc
  40. 40. スナップショットの管理理 • デフォルトで⽇日時のスナップショットによるバックアッ プを実⾏行行し、ポイントインタイムリカバリーが可能 – 5⽇日分のスナップショットが保存される – マニュアルでのスナップショットにも対応 [Create Snapshot]をクリック
  41. 41. Access URLの設定 • Access URLはAWSアプリケーションとの連携のために利利⽤用される – 設定するURLはグローバルでユニーク(⼀一意)である必要がある – ⼀一度度設定すると変更更・削除はできない 1. Access URLを設定2. [Create Access URL]をクリック
  42. 42. AWS Management Console連携の設定 • 作成したAccess URLを利利⽤用したAWS Management Consoleへのアクセスを設定 1. Manage Accessを選択 2. [Enable Access]をクリック
  43. 43. ユーザー/グループとIAMロールのマッピング • 適切切な権限を設定するために、ユーザー/グループと IAMロールのマッピングを⾏行行う – この例例ではEC2ReadOnlyロールとPowerUserロールにそれぞれグルー プとユーザーを割り当て [New Role]をクリック
  44. 44. AWS Management Consoleへのシングルサインオン (SSO) • https:// access_̲url.awsapps.co m/console/にアクセスして ログオンすることにより Management Consoleへの Webベースでのシングルサ インオン(SSO)が可能
  45. 45. AD Connector • オンプレミスのActive Directoryへの接続 – 既存のVPN接続、もしくはAWS Direct Connect経由 • 既存の認証によるAWSアプリケーションへのユーザー アクセス – Amazon WorkSpaces/Amazon Zocalo • AWS Identity Access Management (IAM)との統 合によるAWS Management Consoleへのアクセス • 多要素認証(MFA)をサポート
  46. 46. AD Connectorの作成 • 既存のActive Directory ドメイン情報を⼊入⼒力力 – Directory DNS – NetBIOS Name – Account username – Account Password – DNS Address • ディレクトリを作成する VPC を選択 – VPCには異異なる Availability Zone に 2つ以上の Subnet が存 在する必要がある
  47. 47. 作成されたAD Connector • VPC 上に認証⽤用プロキシが作成される – リクエストベースによりプロキシを経由してドメイン コント ローラーに対して接続 – 既存のユーザー認証およびポリシーを適⽤用可能 AD Connector AD Connector Availability Zone Availability Zone Virtual Private Cloud VPN Gateway Customer Gateway Domain Controller Corporate Data center
  48. 48. 多要素認証 Multi-‐‑‒Factor Authentication(MFA) • AD Connectorで利利⽤用可能 • RADIUSサーバーを経由したMFAに対応 – ワンタイムパスワード等に対応 – スマートカードや証明書には未対応 – Symantec Validation and ID Protection Service (VIP) および Microsoft RADIUS Serverでテスト済 • 既にお使いのワンタイムトークンがそのまま 使える可能性もあり
  49. 49. (例例) Google Authenticatorを使った⽅方法 • スマートフォンに無料料でインストールできる Google Authenticator をソフトウェアトークンとして使⽤用する。 • サーバ側は、オープンソースのFreeRADIUSと Google AuthenticatorのPAM(Pluggable Authentication Module)を連携させて実現させる。 • http://aws.typepad.com/sajp/2014/10/google-‐‑‒ authenticator.html ※ユーザ登録時のGUIは無くコマンドライン操作が必要になります。
  50. 50. MFAの設定 • [Multi-‐‑‒Factor Authentication]タブにRADIUSサーバーの情報を⼊入⼒力力して [Update Directory]を選択 RADIUSサーバーのIPアドレス チェック ポート番号 [Update Directory]を選択 パスワード パスワード(確認) プロトコル タイムアウト(秒) リトライ回数
  51. 51. AWS Directory Serviceの料料⾦金金 • 作成したディレクトリのタイプとサイズにもとづいて課⾦金金 アジアパシフィック(東京) ディレクトリのタイプサイズ時間料料⾦金金 AD ConnectorSmall0.08 USD(58.40 USD/⽉月*) AD ConnectorLarge0.24 USD(175.20 USD/⽉月*) Simple ADSmall0.08 USD(58.40 USD/⽉月*) Simple ADLarge0.24 USD(175.20 USD/⽉月*) * ⽉月ごとの利利⽤用料料⾦金金は、1 か⽉月を 730 時間として算出します。
  52. 52. 無料料利利⽤用枠 • 無料料トライアル – ディレクトリをはじめて作成する場合は750時間分のSmallディ レクトリ(Simple ADまたはAD Connector)が無料料 – ディレクトリの作成後30⽇日間で無効になる • Amazon WorkSpacesとAmazon Zocalo – Smallディレクトリでは1アクティブユーザー、Largeディレク トリでは100アクティブユーザーが存在していればその⽉月の AWS Directory Serviceの料料⾦金金は無料料
  53. 53. 利利⽤用可能なリージョン • 利利⽤用可能なAWSリージョン: – US East (N.Virginia) – US West (Oregon) – EU (Ireland) – Asia Pacific (Sydney) – Asia Pacific (Tokyo) • その他のリージョンは今後予定
  54. 54. まとめ • Active DirectoryはWindowsシステムにおいてほぼ必須 となるIDとアクセス管理理の基盤 • 適切切な設計と監理理により、Active DirectoryをAWS上で 構築・運⽤用することが可能 • AWS Directory Serviceは既存のActive Directoryとの 連携、またはフルマネージドのディレクトリサービスを 提供 – AWSアプリケーション(Amazon WorkSpaces、Amazon Zocalo)およ びAWS Management Consoleとの連携
  55. 55. 参考資料料 • AWS Directory Service Administration Guide – http://docs.aws.amazon.com/directoryservice/latest/ adminguide/what_̲is.html • AWS Directory Serviceのよくある質問 – http://aws.amazon.com/jp/directoryservice/faqs/ • 料料⾦金金表 – http://aws.amazon.com/jp/directoryservice/pricing/

×