Agenda Active Directory on AWS 基礎からわかる Active Directory Active Directory on AWS 構成のシナリオ ADFS と IAM による ID 連携 AWS Directory Service ディレクトリタイプの選択 ディレクトリ

AWS Directory Service

AWS  Black  Belt  Tech  Webinar  2014  (旧マイスターシリーズ) アマゾンデータサービスジャパン株式会社

ソリューションアーキテクト 渡邉源太

Agenda

•  Active  Directory  on  AWS

–  基礎からわかるActive  Directory

–  Active  Directory  on  AWS構成のシナリオ –  ADFSとIAMによるID連携

•  AWS  Directory  Service

–  ディレクトリタイプの選択 –  ディレクトリの管理理

–  多要素認証（MFA）の設定

Active  Directory  on  AWS

ディレクトリとは

•  ユーザに関わる各種情報を保管する仕組み

–  ユーザ名

–  姓・名、部署、電話番号 –  メールアドレス

–  パスワード –  グループ

など

•  ツリー状の構成とする事が多いことから、

ディレクトリと呼ばれる

•  関連⽤用語：LDAP、Active  Directory、OpenLDAP

Active  Directoryとは

•  Windowsネットワークの基本的な認証とセキュリティ 基盤

•  Windows  2000から標準機能として実装されたディレ クトリサービス

•  NTドメインからの反省省をふまえたアーキテクチャー

–  ドメイン間の階層構造がとれない

–  同⼀一ネットワーク上に同じコンピュータ名が共存できない

–  Security  Account  Manager（SAM）データベースの最⼤大容量量が 40MBまで

Active  Directoryの必要性

•  IDとアクセス管理理

–  運⽤用効率率率の向上

–  コンプライアンスの推進 –  セキュリティの強化

–  エクストラネットへの拡張

•  アプリケーションによる使⽤用

–  Exchange/SharePoint/SQL  Server –  ファイル共有・パッチ管理理など

Windowsシステムでは、Active  Directoryがほぼ必須

Active  Directoryサービス

•  Active  Directoryドメインサービス  （AD  DS）

•  Active  Directory  フェデレーションサービス（ADFS）

•  Active  Directory  証明書サービス  （AD  CS）

•  Active  Directory  ライトウェイトディレクトリサービス  

（AD  LDS）

•  Active  Directory  Rights  Managementサービス  　（AD  RMS）

Active  Directoryドメインサービス（AD  DS）

•  名前解決（DNS）

•  ディレクトリサービス（LDAP）

•  ユーザー認証（Kerberosバージョン5）

•  クライアント管理理（SMB:ファイル共有）

基本的な⽤用語

•  フォレスト

–  DNSの名前階層に基づく1つ以上のドメインの階層的集合

•  ドメイン

–  ユーザーとコンピュータの管理理単位 –  DNSの名前階層をLANに応⽤用したもの

•  組織単位（OU）

–  ユーザーとコンピュータを管理理する論論理理的な階層

•  サイト

–  物理理ネットワークに基づく境界

ドメインとフォレスト

•  Active  Directoryの論論理理構造

–  ドメイン・ツリー間で信頼関係を結んだものがフォレスト

–  フォレスト内のドメインでは、「推移的な信頼関係」が結ばれる

ドメイン・ツリー

domain.local

us.domain.local jp.domain.local

信頼関係 信頼関係

ドメイン・ツリー

domain.local

us.domain.local jp.domain.local

信頼関係 信頼関係

フォレスト

OU（組織単位）の構造

•  OU（組織単位）の中にユーザー、コンピュータ、グ ループなどのオブジェクトが配置される

•  グループポリシーの適⽤用範囲

Active  Directoryドメイン

営業部 OU 経理部 OU

Member 001 Member 002 Member 003 Member 004

Member 101 Member 102 Member 103 Member 104

Flexible  Single  Master  Operation（FSMO）

•  Active  Directoryドメインコントローラ（DC）には FSMOと呼ばれる特別な役割があります。

•  スキーマ・マスタ

–  Active  Directoryのデータベーススキーマを管理理

•  ドメイン名前付け操作マスタ

–  フォレストにおけるドメインの追加/削除

•  RIDマスタ

–  オブジェクトの固有識識別に使⽤用するSIDの⼀一部、RIDを管理理

•  PDCエミュレータ

–  NTドメインのプライマリドメインコントローラをエミュレート

•  インフラストラクチャ・マスタ

–  グループに所属しているユーザーアカウントの情報を管理理

ドメイン  コントローラー（DC）配置

•  新規のActive  Directory  ドメインサービスの構築

–  ドメインコントローラーをEC2上に構築  

•  アプリケーションで集中化されたクラウドベースの認証が必要な場合  

•  既存のActive  Directory環境をAWSに拡張

–  既存（オンプレミス）のドメインコントローラーを利利⽤用

AWS  上に  DC  を配置する場合

•  新規のActive  Directory  ドメインサービスの構築

Availability Zone Availability Zone

Direct Connect

VPN Connection

(FSMO1)DC

クライアント (FSMO2)DC

・AZ  を利利⽤用した冗⻑⾧長化

・リストア⽅方法について要検討

既存DCを利利⽤用し、ハイブリッド運⽤用する場合

•  既存のActive  Directory環境をAWSに拡張

Availability Zone Availability Zone

Direct Connect

VPN Connection

(FSMO)DC DC DC

(FSMO)

クライアント AZ  を利利⽤用した冗⻑⾧長化

FSMO  の配置場所を選定（AWS  もしくは⾃自社環境）

DNS  の配置

•  障害発⽣生時にも名前解決ができる状態を確保する

Availability Zone Availability Zone

Direct Connect

VPN Connection

(FSMO)DC DC DC

(FSMO)

クライアント この障害の例例では、⾃自分⾃自⾝身に  DNS  がイ

ンストールされていないと名前解決ができ ない状態に陥る。名前解決ができる状態を 確保することで  DC  の孤⽴立立を防ぐ。

DNS DNS DNS

参照先  DNS  の指定

•  NIC  の  TCP/IP  の設定

–  参照先  DNS  には、DC  上の  DNS  を指定する

–  AWS  が提供する  DNS  は、（代替  DNS  としても）参照しない

•  DC  の参照ができなくなり、ログオン障害が発⽣生する恐れ

•  DC  間の複製障害が発⽣生する恐れ

•  DC  上の  DNS  のフォワーダーに  AWS  が提供する  DNS  を設定

インターネットの名前解決は  AWS   が提供する  DNS  にフォワード

TCP/IP  の詳細設定（DNS）

•  既定で  DNS  サフィックスに  AWS   関連のものが追加されている

•  追加されているサフィックスの例例

–  ap-‐‑‒northeast-‐‑‒1.ec2-‐‑‒utilities.amazonaws.com –  us-‐‑‒east-‐‑‒1.ec2-‐‑‒utilities.amazonaws.com –  ec2-‐‑‒utilities.amazonaws.com

–  ec2.internal

–  ap-‐‑‒northeast-‐‑‒1.compute.internal

DHCP  Options  Set  の利利⽤用

ドメインの  FQDN  を指定 DC  上の  DNS  を指定

NTP  サーバーは設定しない（PDC  エミュレーター同期）

WINS  を使⽤用する際に  2  を設定 WINS  を使⽤用する際に指定

バックアップ

•  従来のバックアップの⼿手法を使⽤用

–  VSS  (Volume  Shadow  Copy  Service）に 対応したバックアップ  ツールを使⽤用する

•  Windows  Server  バックアップ

•  Wbadmin.exe

–  Tombstone  Lifetime  の有効期限に注意

•  EC2  スナップショットの利利⽤用

–  バックアップ  ツールによって取得されたバックアップ  データが保管さ れているボリュームのスナップショットを取得し、データを保全

–  DC  のシステム全体のスナップショットについては、次ページの留留意点 について⼗十分考慮する必要がある

リストア時の注意

•  DC  のシステム全体のスナップショットをリストアに使⽤用しない

–  USN  ロールバックを誘発

–  ロールバックが発⽣生した  DC  はドメイン環境から隔離離され、複製パー トナーとして⾒見見なされなくなる

仮想化ドメイン  コントローラーのバックアップと復復元に関する考慮事項 http://technet.microsoft.com/ja-jp/library/dd363545%28v=ws.10%29.aspx

Active  Directoryフェデレーションサービス（ADFS）

•  セキュリティで保護されたID連携（フェデレーション）

とWebシングルサインオン（SSO）を提供

•  AD  DS/AD  LDSで認証されたユーザーに対してセキュ リティトークンを発⾏行行（SAML  1.1/2.0）

•  Office  365やGoogle  Appsへのシングルサインオン

（SSO）にも利利⽤用される

–  http://community.office365.com/ja-‐‑‒jp/b/

office_̲365_̲community_̲blog/archive/2012/01/14/adfs-‐‑‒in-‐‑‒

office-‐‑‒365.aspx

IAMと  Active  Directory  の認証連携

•  AWS  IAM  の  SAML  2.0 サポート

•  Active  Directory  と  SAML   2.0  による  ID  連携が可能

–  Active  Directoryフェデレー ションサービス  を利利⽤用

•  Active  Directory  の

ユーザーとグループを認証 と認可に使⽤用

参考情報：Enabling  Federation  to  AWS  using  Windows  Active  Directory,  ADFS,  and  SAML  2.0

http://blogs.aws.amazon.com/security/post/Tx71TWXXJ3UI14/Enabling-Federation-to-AWS-using-Windows-Active- Directory-ADFS-and-SAML-2-0

グループのマッピング

•  AWS  の操作権限の単位を

セキュリティ  グループとして作成 •  IAM  ロールを作成し、AWS  の操作 権限を  IAM  ポリシーで定義

セキュリティ  グループ(AD)と  IAM  ロールをマッピングが可能

AWS  Directory  Service

AWS  Directory  Serviceでできること

•  AWSクラウド上にスタンドアロンのディレクトリ を新規に作成

•  既存の企業内の認証を利利⽤用して：

–  AWSアプリケーションへのアクセス(Amazon  WorkSpaces,   Amazon  Zocaloなど)

–  IAMロールによるAWS  Management  Consoleへのアクセス

ディレクトリタイプの選択

•  Simple  AD

–  フルマネージドのディレクトリ  サービス

–  Samba  4  Active  Directory互換サーバーを利利⽤用 –  AWS上に独⽴立立したドメインを作成

•  AD  Connecter

–  既存のディレクトリ  サービスへの接続

–  オンプレミスまたは  VPC  上のドメインを指定 –  多要素認証（MFA）をサポート

ディレクトリのサイズ

•  Simple  AD

–  Small:最⼤大で1,000のユーザー、コンピュータ、グループ、その他 のオブジェクト

–  Large:最⼤大で10,000のユーザー、コンピュータ、グループ、その 他オブジェクト

•  AD  Connector

–  Small:最⼤大で10,000のユーザー、コンピュータ、グループ、その 他のオブジェクトへの接続

–  Large:最⼤大で100,000のユーザー、コンピュータ、グループなど のオブジェクトへの接続

Simple  AD

•  スタンドアロンのマネージド型ディレクトリ

–  Samba  4  Active  Directory互換サーバーを利利⽤用  

–  AWSアプリケーション（Amazon  WorkSpaces/Amazon  Zocalo）の利利⽤用をサポート

•  ⼀一般的なActive  Directoryの機能をサポート

–  ユーザーアカウント/グループのメンバーシップ/EC2  Windowsインスタンスのドメイン参 加/KerberosベースのSSO/グループポリシー

•  既存のActive  Directory管理理ツールを利利⽤用した管理理が可能

–  Microsoft  管理理コンソール（MMC）スナップイン、Active  Directory  Services  Interface   (ADSI)、ADSIEdit、および  dsadd  や  dsmod  コマンドラインツール

Simple  ADの作成

•  ドメインと管理理者アカウントを作成する

–  Directory  DNS –  NetBIOS  Name

–  Administrator  Password –  Directory  Size

•  ディレクトリを作成するVPCを選択

–  VPCには異異なる  Availability  Zoneに  ２つ以上の  Subnet  が 存在する必要がある

ディレクトリを作成する

•  アジアパシフィック（東京）リージョンに変更更してディレクトリを 作成します。

2.  [Asia  Pacific  (Tokyo)]  を選択

1.  リージョン選択メニュー

3.  [Get  Started  Now]  を選択

ディレクトリタイプの選択

•  Create  a  Simple  ADを選択

 [Create  Simple  AD]  を選択

Simple  ADの作成（1/2）

 1.  [Directory  DNS]  を⼊入⼒力力

 2.  [NetBIOS  name]  を⼊入⼒力力

（オプション）

 3.  [Administrator  password]  を⼊入

⼒力力 4.  [Small]  を選択

•  既存のVPCを選択、または新規にVPCとSubnet を作成

Simple  ADの作成（2/2）

 1.  [VPC]  を選択

 2.2つの  [Subnets]  を選択

3.  [Next  Step]をクリック

⼊入⼒力力内容の確認

[Create  Simple  AD]をクリック

Simple  ADの確認（1/2）

•  [Status]が[Active]になれば作成完了了

Simple  ADの確認（2/2）

•  [Directory  ID]をクリックして[Directory  Details]を確認

作成されたSimple  AD

•  ドメインコントローラはMulti-‐‑‒AZ構成で複数のSubnetに展開され る

–  EC2インスタンスとしては表⽰示されない

•  標準的なActive  Directoryの管理理ツールから操作可能

–  イベントビューア

–  Active  Directoryユーザとコンピュータ

Availability Zone Availability Zone Domain

Controller

Domain Controller Virtual Private Cloud

ディレクトリの管理理

•  ドメインに参加させたEC2インスタンスにActive   Directory管理理ツールをインストールすることにより ディレクトリの管理理が可能

–  %SystemRoot%\system32\dsa.msc

スナップショットの管理理

•  デフォルトで⽇日時のスナップショットによるバックアッ プを実⾏行行し、ポイントインタイムリカバリーが可能

–  5⽇日分のスナップショットが保存される

–  マニュアルでのスナップショットにも対応

[Create  Snapshot]をクリック

Access  URLの設定

•  Access  URLはAWSアプリケーションとの連携のために利利⽤用される

–  設定するURLはグローバルでユニーク（⼀一意）である必要がある –  ⼀一度度設定すると変更更・削除はできない

1.  Access  URLを設定 2.  [Create  Access  URL]をクリック

AWS  Management  Console連携の設定

•  作成したAccess  URLを利利⽤用したAWS  

Management  Consoleへのアクセスを設定

1.  Manage  Accessを選択

2.  [Enable  Access]をクリック

ユーザー/グループとIAMロールのマッピング

•  適切切な権限を設定するために、ユーザー/グループと IAMロールのマッピングを⾏行行う

–  この例例ではEC2ReadOnlyロールとPowerUserロールにそれぞれグルー プとユーザーを割り当て

[New  Role]をクリック

AWS  Management  Consoleへのシングルサインオン

（SSO）

•  https://

<access_̲url>.awsapps.co m/console/にアクセスして ログオンすることにより

Management  Consoleへの Webベースでのシングルサ インオン（SSO）が可能

AD  Connector

•  オンプレミスのActive  Directoryへの接続

–  既存のVPN接続、もしくはAWS  Direct  Connect経由

•  既存の認証によるAWSアプリケーションへのユーザー アクセス

–  Amazon  WorkSpaces/Amazon  Zocalo

•  AWS  Identity  &  Access  Management  （IAM）との統 合によるAWS  Management  Consoleへのアクセス

•  多要素認証（MFA）をサポート

AD  Connectorの作成

•  既存のActive  Directory  ドメイン情報を⼊入⼒力力

–  Directory  DNS –  NetBIOS  Name

–  Account  username –  Account  Password –  DNS  Address

•  ディレクトリを作成する  VPC  を選択

–  VPCには異異なる  Availability  Zone  に  ２つ以上の  Subnet  が存 在する必要がある

作成されたAD  Connector

•  VPC  上に認証⽤用プロキシが作成される

–  リクエストベースによりプロキシを経由してドメイン  コント ローラーに対して接続

–  既存のユーザー認証およびポリシーを適⽤用可能

Availability Zone Availability Zone

AD Connector AD Connector

Virtual Private Cloud

VPN Gateway

Corporate Data center Customer

Gateway Domain Controller

多要素認証 　Multi-‐‑‒Factor   Authentication（MFA）

•  AD  Connectorで利利⽤用可能

•  RADIUSサーバーを経由したMFAに対応

–  ワンタイムパスワード等に対応

–  スマートカードや証明書には未対応

–  Symantec  Validation  and  ID  Protection  Service  (VIP) および  Microsoft  RADIUS  Serverでテスト済

• 

既にお使いのワンタイムトークンがそのまま

使える可能性もあり

(例例)  Google  Authenticatorを使った⽅方法

•  スマートフォンに無料料でインストールできる Google  Authenticator

をソフトウェアトークンとして使⽤用する。

•  サーバ側は、オープンソースのFreeRADIUSと

Google  AuthenticatorのPAM（Pluggable  Authentication   Module）を連携させて実現させる。

•  http://aws.typepad.com/sajp/2014/10/google-‐‑‒

authenticator.html

※ユーザ登録時のGUIは無くコマンドライン操作が必要になります。

MFAの設定

•  [Multi-‐‑‒Factor  Authentication]タブにRADIUSサーバーの情報を⼊入⼒力力して [Update  Directory]を選択

 RADIUSサーバーのIPアドレス チェック

 ポート番号

 [Update  Directory]を選択  パスワード

 プロトコル

 タイムアウト（秒）

 リトライ回数

 パスワード（確認）

AWS  Directory  Serviceの料料⾦金金

ディレクトリのタイプ サイズ 時間料料⾦金金

AD  Connector Small 0.08  USD（58.40  USD/⽉月*）

AD  Connector Large 0.24  USD（175.20  USD/⽉月*）

Simple  AD Small 0.08  USD（58.40  USD/⽉月*）

Simple  AD Large 0.24  USD（175.20  USD/⽉月*）

*  ⽉月ごとの利利⽤用料料⾦金金は、1  か⽉月を  730  時間として算出します。

アジアパシフィック（東京）

•  作成したディレクトリのタイプとサイズにもとづいて課⾦金金

無料料利利⽤用枠

•  無料料トライアル

–  ディレクトリをはじめて作成する場合は750時間分のSmallディ レクトリ（Simple  ADまたはAD  Connector）が無料料

–  ディレクトリの作成後30⽇日間で無効になる

•  Amazon  WorkSpacesとAmazon  Zocalo

–  Smallディレクトリでは1アクティブユーザー、Largeディレク トリでは100アクティブユーザーが存在していればその⽉月の AWS  Directory  Serviceの料料⾦金金は無料料

利利⽤用可能なリージョン

•  利利⽤用可能なAWSリージョン:

–  US  East  (N.Virginia) –  US  West  (Oregon) –  EU  (Ireland)

–  Asia  Pacific  (Sydney) –  Asia  Pacific  (Tokyo)

•  その他のリージョンは今後予定

まとめ

•  Active  DirectoryはWindowsシステムにおいてほぼ必須 となるIDとアクセス管理理の基盤

•  適切切な設計と監理理により、Active  DirectoryをAWS上で 構築・運⽤用することが可能

•  AWS  Directory  Serviceは既存のActive  Directoryとの 連携、またはフルマネージドのディレクトリサービスを 提供–  AWSアプリケーション（Amazon  WorkSpaces、Amazon  Zocalo）およ

びAWS  Management  Consoleとの連携

参考資料料

•  AWS  Directory  Service  Administration  Guide

–  http://docs.aws.amazon.com/directoryservice/latest/

adminguide/what_̲is.html

•  AWS  Directory  Serviceのよくある質問

–  http://aws.amazon.com/jp/directoryservice/faqs/

•  料料⾦金金表

–  http://aws.amazon.com/jp/directoryservice/pricing/