Active Directoryとは - Amazon Web Services

AWS Directory Service
AWS Black Belt Tech Webinar 2014 (旧マイスターシリーズ)
アマゾンデータサービスジャパン株式会社
ソリューションアーキテクト
渡邉源太
Agenda
•  Active Directory on AWS
–  基礎からわかるActive Directory
–  Active Directory on AWS構成のシナリオ
–  ADFSとIAMによるID連携
•  AWS Directory Service
–  ディレクトリタイプの選択
–  ディレクトリの管理理
–  多要素認証(MFA)の設定
Active Directory on AWS
ディレクトリとは
•  ユーザに関わる各種情報を保管する仕組み
– 
– 
– 
– 
– 
ユーザ名
姓・名、部署、電話番号
メールアドレス
パスワード
グループ
など
•  ツリー状の構成とする事が多いことから、
ディレクトリと呼ばれる
•  関連⽤用語:LDAP、Active Directory、OpenLDAP
Active Directoryとは
•  Windowsネットワークの基本的な認証とセキュリティ
基盤
•  Windows 2000から標準機能として実装されたディレ
クトリサービス
•  NTドメインからの反省省をふまえたアーキテクチャー
–  ドメイン間の階層構造がとれない
–  同⼀一ネットワーク上に同じコンピュータ名が共存できない
–  Security Account Manager(SAM)データベースの最⼤大容量量が
40MBまで
Active Directoryの必要性
•  IDとアクセス管理理
– 
– 
– 
– 
運⽤用効率率率の向上
コンプライアンスの推進
セキュリティの強化
エクストラネットへの拡張
•  アプリケーションによる使⽤用
–  Exchange/SharePoint/SQL Server
–  ファイル共有・パッチ管理理など
Windowsシステムでは、Active Directoryがほぼ必須
Active Directoryサービス
Active Directoryドメインサービス (AD DS)
Active Directory フェデレーションサービス(ADFS)
Active Directory 証明書サービス (AD CS)
Active Directory ライトウェイトディレクトリサービス (AD LDS)
•  Active Directory Rights Managementサービス
(AD RMS)
• 
• 
• 
• 
Active Directoryドメインサービス(AD DS)
• 
• 
• 
• 
名前解決(DNS)
ディレクトリサービス(LDAP)
ユーザー認証(Kerberosバージョン5)
クライアント管理理(SMB:ファイル共有)
基本的な⽤用語
•  フォレスト
–  DNSの名前階層に基づく1つ以上のドメインの階層的集合
•  ドメイン
–  ユーザーとコンピュータの管理理単位
–  DNSの名前階層をLANに応⽤用したもの
•  組織単位(OU)
–  ユーザーとコンピュータを管理理する論論理理的な階層
•  サイト
–  物理理ネットワークに基づく境界
ドメインとフォレスト
•  Active Directoryの論論理理構造
–  ドメイン・ツリー間で信頼関係を結んだものがフォレスト
–  フォレスト内のドメインでは、「推移的な信頼関係」が結ばれる
フォレスト
信頼関係
domain.local
jp.domain.local
信頼関係
us.domain.local
ドメイン・ツリー
信頼関係
domain.local
jp.domain.local
信頼関係
us.domain.local
ドメイン・ツリー
OU(組織単位)の構造
•  OU(組織単位)の中にユーザー、コンピュータ、グ
ループなどのオブジェクトが配置される
•  グループポリシーの適⽤用範囲
Active Directoryドメイン
営業部 OU
経理部 OU
Member 001
Member 101
Member 002
Member 102
Member 003
Member 103
Member 004
Member 104
Flexible Single Master Operation(FSMO)
•  Active Directoryドメインコントローラ(DC)には
FSMOと呼ばれる特別な役割があります。
• 
スキーマ・マスタ
– 
• 
ドメイン名前付け操作マスタ
– 
• 
オブジェクトの固有識識別に使⽤用するSIDの⼀一部、RIDを管理理
PDCエミュレータ
– 
• 
フォレストにおけるドメインの追加/削除
RIDマスタ
– 
• 
Active Directoryのデータベーススキーマを管理理
NTドメインのプライマリドメインコントローラをエミュレート
インフラストラクチャ・マスタ
– 
グループに所属しているユーザーアカウントの情報を管理理
ドメイン コントローラー(DC)配置
•  新規のActive Directory ドメインサービスの構築
–  ドメインコントローラーをEC2上に構築 •  アプリケーションで集中化されたクラウドベースの認証が必要な場合 •  既存のActive Directory環境をAWSに拡張
–  既存(オンプレミス)のドメインコントローラーを利利⽤用
AWS 上に DC を配置する場合
•  新規のActive Directory ドメインサービスの構築
DC
(FSMO1)
DC
(FSMO2)
Direct Connect
・AZ を利利⽤用した冗⻑⾧長化
・リストア⽅方法について要検討
Availability Zone
Availability Zone
VPN Connection
クライアント
既存DCを利利⽤用し、ハイブリッド運⽤用する場合
•  既存のActive Directory環境をAWSに拡張
DC
(FSMO)
DC
Direct Connect
DC
(FSMO)
AZ を利利⽤用した冗⻑⾧長化
Availability Zone
Availability Zone
VPN Connection
クライアント
FSMO の配置場所を選定(AWS もしくは⾃自社環境)
DNS の配置
•  障害発⽣生時にも名前解決ができる状態を確保する
DC
(FSMO)
DNS
DNS
DNS
DC
この障害の例例では、⾃自分⾃自⾝身に DNS がイ
ンストールされていないと名前解決ができ
Availability Zone
Availability Zone
ない状態に陥る。名前解決ができる状態を
確保することで DC の孤⽴立立を防ぐ。
Direct Connect
VPN Connection
DC
(FSMO)
クライアント
参照先 DNS の指定
•  NIC の TCP/IP の設定
–  参照先 DNS には、DC 上の DNS を指定する
–  AWS が提供する DNS は、(代替 DNS としても)参照しない
•  DC の参照ができなくなり、ログオン障害が発⽣生する恐れ
•  DC 間の複製障害が発⽣生する恐れ
•  DC 上の DNS のフォワーダーに AWS が提供する DNS を設定
インターネットの名前解決は AWS が提供する DNS にフォワード
TCP/IP の詳細設定(DNS)
•  既定で DNS サフィックスに AWS 関連のものが追加されている
•  追加されているサフィックスの例例
– 
– 
– 
– 
– 
ap-‐‑‒northeast-‐‑‒1.ec2-‐‑‒utilities.amazonaws.com
us-‐‑‒east-‐‑‒1.ec2-‐‑‒utilities.amazonaws.com
ec2-‐‑‒utilities.amazonaws.com
ec2.internal
ap-‐‑‒northeast-‐‑‒1.compute.internal
DHCP Options Set の利利⽤用
ドメインの FQDN を指定
DC 上の DNS を指定
NTP サーバーは設定しない(PDC エミュレーター同期)
WINS を使⽤用する際に指定
WINS を使⽤用する際に 2 を設定
バックアップ
•  従来のバックアップの⼿手法を使⽤用
–  VSS (Volume Shadow Copy Service)に
対応したバックアップ ツールを使⽤用する
•  Windows Server バックアップ
•  Wbadmin.exe
–  Tombstone Lifetime の有効期限に注意
•  EC2 スナップショットの利利⽤用
–  バックアップ ツールによって取得されたバックアップ データが保管さ
れているボリュームのスナップショットを取得し、データを保全
–  DC のシステム全体のスナップショットについては、次ページの留留意点
について⼗十分考慮する必要がある
リストア時の注意
•  DC のシステム全体のスナップショットをリストアに使⽤用しない
–  USN ロールバックを誘発
–  ロールバックが発⽣生した DC はドメイン環境から隔離離され、複製パー
トナーとして⾒見見なされなくなる
仮想化ドメイン コントローラーのバックアップと復復元に関する考慮事項
http://technet.microsoft.com/ja-jp/library/dd363545%28v=ws.10%29.aspx
Active Directoryフェデレーションサービス(ADFS)
•  セキュリティで保護されたID連携(フェデレーション)
とWebシングルサインオン(SSO)を提供
•  AD DS/AD LDSで認証されたユーザーに対してセキュ
リティトークンを発⾏行行(SAML 1.1/2.0)
•  Office 365やGoogle Appsへのシングルサインオン
(SSO)にも利利⽤用される
–  http://community.office365.com/ja-‐‑‒jp/b/
office_̲365_̲community_̲blog/archive/2012/01/14/adfs-‐‑‒in-‐‑‒
office-‐‑‒365.aspx
IAMと Active Directory の認証連携
• 
• 
AWS IAM の SAML 2.0
サポート
Active Directory と SAML 2.0 による ID 連携が可能
–  Active Directoryフェデレー
ションサービス を利利⽤用
• 
Active Directory の
ユーザーとグループを認証
と認可に使⽤用
参考情報:Enabling Federation to AWS using Windows Active Directory, ADFS, and SAML 2.0
http://blogs.aws.amazon.com/security/post/Tx71TWXXJ3UI14/Enabling-Federation-to-AWS-using-Windows-ActiveDirectory-ADFS-and-SAML-2-0
グループのマッピング
• 
AWS の操作権限の単位を
セキュリティ グループとして作成
• 
IAM ロールを作成し、AWS の操作
権限を IAM ポリシーで定義
セキュリティ グループ(AD)と IAM ロールをマッピングが可能
AWS Directory Service
AWS Directory Serviceでできること
•  AWSクラウド上にスタンドアロンのディレクトリ
を新規に作成
•  既存の企業内の認証を利利⽤用して:
–  AWSアプリケーションへのアクセス(Amazon WorkSpaces, Amazon Zocaloなど)
–  IAMロールによるAWS Management Consoleへのアクセス
ディレクトリタイプの選択
•  Simple AD
–  フルマネージドのディレクトリ サービス
–  Samba 4 Active Directory互換サーバーを利利⽤用
–  AWS上に独⽴立立したドメインを作成
•  AD Connecter
–  既存のディレクトリ サービスへの接続
–  オンプレミスまたは VPC 上のドメインを指定
–  多要素認証(MFA)をサポート
ディレクトリのサイズ
•  Simple AD
–  Small:最⼤大で1,000のユーザー、コンピュータ、グループ、その他
のオブジェクト
–  Large:最⼤大で10,000のユーザー、コンピュータ、グループ、その
他オブジェクト
•  AD Connector
–  Small:最⼤大で10,000のユーザー、コンピュータ、グループ、その
他のオブジェクトへの接続
–  Large:最⼤大で100,000のユーザー、コンピュータ、グループなど
のオブジェクトへの接続
Simple AD
•  スタンドアロンのマネージド型ディレクトリ
–  Samba 4 Active Directory互換サーバーを利利⽤用 –  AWSアプリケーション(Amazon WorkSpaces/Amazon Zocalo)の利利⽤用をサポート
•  ⼀一般的なActive Directoryの機能をサポート
–  ユーザーアカウント/グループのメンバーシップ/EC2 Windowsインスタンスのドメイン参
加/KerberosベースのSSO/グループポリシー
•  既存のActive Directory管理理ツールを利利⽤用した管理理が可能
–  Microsoft 管理理コンソール(MMC)スナップイン、Active Directory Services Interface (ADSI)、ADSIEdit、および dsadd や dsmod コマンドラインツール
Simple ADの作成
•  ドメインと管理理者アカウントを作成する
– 
– 
– 
– 
Directory DNS
NetBIOS Name
Administrator Password
Directory Size
•  ディレクトリを作成するVPCを選択
–  VPCには異異なる Availability Zoneに 2つ以上の Subnet が
存在する必要がある
ディレクトリを作成する
•  アジアパシフィック(東京)リージョンに変更更してディレクトリを
作成します。
1. リージョン選択メニュー
2. [Asia Pacific (Tokyo)] を選択
3. [Get Started Now] を選択
ディレクトリタイプの選択
•  Create a Simple ADを選択
[Create Simple AD] を選択
Simple ADの作成(1/2)
1. [Directory DNS] を⼊入⼒力力
2. [NetBIOS name] を⼊入⼒力力
(オプション)
4. [Small] を選択
3. [Administrator password] を⼊入
⼒力力
Simple ADの作成(2/2)
•  既存のVPCを選択、または新規にVPCとSubnet
を作成
1. [VPC] を選択
2.2つの [Subnets] を選択
3. [Next Step]をクリック
⼊入⼒力力内容の確認
[Create Simple AD]をクリック
Simple ADの確認(1/2)
•  [Status]が[Active]になれば作成完了了
Simple ADの確認(2/2)
•  [Directory ID]をクリックして[Directory Details]を確認
作成されたSimple AD
•  ドメインコントローラはMulti-‐‑‒AZ構成で複数のSubnetに展開され
る
–  EC2インスタンスとしては表⽰示されない
•  標準的なActive Directoryの管理理ツールから操作可能
–  イベントビューア
–  Active Directoryユーザとコンピュータ
Domain
Controller
Availability Zone
Virtual Private Cloud
Domain
Controller
Availability Zone
ディレクトリの管理理
•  ドメインに参加させたEC2インスタンスにActive Directory管理理ツールをインストールすることにより
ディレクトリの管理理が可能
–  %SystemRoot%\system32\dsa.msc
スナップショットの管理理
•  デフォルトで⽇日時のスナップショットによるバックアッ
プを実⾏行行し、ポイントインタイムリカバリーが可能
–  5⽇日分のスナップショットが保存される
–  マニュアルでのスナップショットにも対応
[Create Snapshot]をクリック
Access URLの設定
•  Access URLはAWSアプリケーションとの連携のために利利⽤用される
–  設定するURLはグローバルでユニーク(⼀一意)である必要がある
–  ⼀一度度設定すると変更更・削除はできない
1. Access URLを設定
2. [Create Access URL]をクリック
AWS Management Console連携の設定
•  作成したAccess URLを利利⽤用したAWS Management Consoleへのアクセスを設定
2. [Enable Access]をクリック
1. Manage Accessを選択
ユーザー/グループとIAMロールのマッピング
•  適切切な権限を設定するために、ユーザー/グループと
IAMロールのマッピングを⾏行行う
–  この例例ではEC2ReadOnlyロールとPowerUserロールにそれぞれグルー
プとユーザーを割り当て
[New Role]をクリック
AWS Management Consoleへのシングルサインオン
(SSO)
•  https://
<access_̲url>.awsapps.co
m/console/にアクセスして
ログオンすることにより
Management Consoleへの
Webベースでのシングルサ
インオン(SSO)が可能
AD Connector
•  オンプレミスのActive Directoryへの接続
–  既存のVPN接続、もしくはAWS Direct Connect経由
•  既存の認証によるAWSアプリケーションへのユーザー
アクセス
–  Amazon WorkSpaces/Amazon Zocalo
•  AWS Identity & Access Management (IAM)との統
合によるAWS Management Consoleへのアクセス
•  多要素認証(MFA)をサポート
AD Connectorの作成
•  既存のActive Directory ドメイン情報を⼊入⼒力力
– 
– 
– 
– 
– 
Directory DNS
NetBIOS Name
Account username
Account Password
DNS Address
•  ディレクトリを作成する VPC を選択
–  VPCには異異なる Availability Zone に 2つ以上の Subnet が存
在する必要がある
作成されたAD Connector
•  VPC 上に認証⽤用プロキシが作成される
–  リクエストベースによりプロキシを経由してドメイン コント
ローラーに対して接続
–  既存のユーザー認証およびポリシーを適⽤用可能
AD Connector
Availability Zone
Virtual Private Cloud
AD Connector
Availability Zone
VPN
Gateway
Customer
Domain Controller
Gateway
Corporate Data center
多要素認証 Multi-‐‑‒Factor Authentication(MFA)
•  AD Connectorで利利⽤用可能
•  RADIUSサーバーを経由したMFAに対応
–  ワンタイムパスワード等に対応
–  スマートカードや証明書には未対応
–  Symantec Validation and ID Protection Service (VIP)
および Microsoft RADIUS Serverでテスト済
•  既にお使いのワンタイムトークンがそのまま
使える可能性もあり
(例例) Google Authenticatorを使った⽅方法
•  スマートフォンに無料料でインストールできる
Google Authenticator
をソフトウェアトークンとして使⽤用する。
•  サーバ側は、オープンソースのFreeRADIUSと
Google AuthenticatorのPAM(Pluggable Authentication Module)を連携させて実現させる。
•  http://aws.typepad.com/sajp/2014/10/google-‐‑‒
authenticator.html
※ユーザ登録時のGUIは無くコマンドライン操作が必要になります。
MFAの設定
• 
[Multi-‐‑‒Factor Authentication]タブにRADIUSサーバーの情報を⼊入⼒力力して
[Update Directory]を選択
チェック
RADIUSサーバーのIPアドレス
ポート番号
パスワード
パスワード(確認)
プロトコル
タイムアウト(秒)
リトライ回数
[Update Directory]を選択
AWS Directory Serviceの料料⾦金金
•  作成したディレクトリのタイプとサイズにもとづいて課⾦金金
アジアパシフィック(東京)
ディレクトリのタイプ
サイズ
時間料料⾦金金
AD Connector
Small
0.08 USD(58.40 USD/⽉月*)
AD Connector
Large
0.24 USD(175.20 USD/⽉月*)
Simple AD
Small
0.08 USD(58.40 USD/⽉月*)
Simple AD
Large
0.24 USD(175.20 USD/⽉月*)
* ⽉月ごとの利利⽤用料料⾦金金は、1 か⽉月を 730 時間として算出します。
無料料利利⽤用枠
•  無料料トライアル
–  ディレクトリをはじめて作成する場合は750時間分のSmallディ
レクトリ(Simple ADまたはAD Connector)が無料料
–  ディレクトリの作成後30⽇日間で無効になる
•  Amazon WorkSpacesとAmazon Zocalo
–  Smallディレクトリでは1アクティブユーザー、Largeディレク
トリでは100アクティブユーザーが存在していればその⽉月の
AWS Directory Serviceの料料⾦金金は無料料
利利⽤用可能なリージョン
•  利利⽤用可能なAWSリージョン:
– 
– 
– 
– 
– 
US East (N.Virginia)
US West (Oregon)
EU (Ireland)
Asia Pacific (Sydney)
Asia Pacific (Tokyo)
•  その他のリージョンは今後予定
まとめ
•  Active DirectoryはWindowsシステムにおいてほぼ必須
となるIDとアクセス管理理の基盤
•  適切切な設計と監理理により、Active DirectoryをAWS上で
構築・運⽤用することが可能
•  AWS Directory Serviceは既存のActive Directoryとの
連携、またはフルマネージドのディレクトリサービスを
提供
–  AWSアプリケーション(Amazon WorkSpaces、Amazon Zocalo)およ
びAWS Management Consoleとの連携
参考資料料
•  AWS Directory Service Administration Guide
–  http://docs.aws.amazon.com/directoryservice/latest/
adminguide/what_̲is.html
•  AWS Directory Serviceのよくある質問
–  http://aws.amazon.com/jp/directoryservice/faqs/
•  料料⾦金金表
–  http://aws.amazon.com/jp/directoryservice/pricing/