10. 仕組み
• Microsoft AD の中身は Windows Server 2012 R2 AD DS
• オンプレドメコンと Microsoft AD 間で片方向信頼関係を結ぶ
• EC2 インスタンスを Microsoft AD のドメインメンバーにする
• Linux 等は LDAP 認証が出来る(はず)
11. ただし…
• VPN or Direct Connect 必須
• Microsoft AD そのものを操作する UI が提供されていない
• ドメインメンバーに RSAT 入れる
• Domain Admins は使えない
• OU 配下の管理権限のみ
• 0.445 USD/h
12. 使用プロトコル
プロトコル ポート
方向
(MSAD : ADDS)
DNS UDP/53 ←→
DNS TCP/53 ←→
LDAP UDP/389 →
LDAP TCP/389 →
SMB TCP/445 ←→
AD DS Web Services TCP/9389 →
RPC TCP/135 →
RPC TCP/49152 - 65535 →
ICMP ping ←→
27. 構成
AD ConnectorAWS
Management
Console
Account DB
MFA Code
Duo Application
Proxy
ドメイン
コントローラー
User ID
Password
MFA Code
管理者
管理者
利用者
ID Password
一次認証
ID MFA
二次認証
認証
情報取得
アカウント同期
メンテナンス
メンテナンス
AWS
オンプレ
Duo Security
Duo Application
Proxy
VPN or
Direct Connect
29. 同期の仕組み
AD ConnectorAWS
Management
Console
Account DB
MFA Code
Duo Application
Proxy
ドメイン
コントローラー
User ID
Password
MFA Code
利用者
ID Password
一次認証
ID MFA
二次認証
認証
情報取得
アカウント同期
AWS
オンプレ
Duo Security
Duo Application
Proxy
VPN or
Direct Connect
30. メンテナンス
AD ConnectorAWS
Management
Console
Account DB
MFA Code
Duo Application
Proxy
ドメイン
コントローラー
User ID
Password
MFA Code
管理者
管理者
利用者
ID Password
一次認証
ID MFA
二次認証
認証
情報取得
アカウント同期
メンテナンス
メンテナンス
AWS
オンプレ
Duo Security
Duo Application
Proxy
VPN or
Direct Connect
35. 使用プロトコル
AD ConnectorAWS
Management
Console
Account DB
MFA Code
Duo Application
Proxy
ドメイン
コントローラー
User ID
Password
MFA Code
管理者
管理者
利用者
ID Password
一次認証
ID MFA
二次認証
認証
情報取得
アカウント同期
メンテナンス
メンテナンス
AWS
オンプレ
Duo Security
Duo Application
Proxy
VPN or
Direct Connect
(1)
(2) (3)
(4)