Awsをオンプレドメコンに連携させる
•Als PPTX, PDF herunterladen•
1 gefällt mir•5,311 views
AWS をオンプレの AD DS と同期させる
Empfohlen
Empfohlen
Weitere ähnliche Inhalte
Was ist angesagt?
Was ist angesagt? (20)
Ähnlich wie Awsをオンプレドメコンに連携させる
Ähnlich wie Awsをオンプレドメコンに連携させる (20)
Mehr von Syuichi Murashima
Kürzlich hochgeladen
Kürzlich hochgeladen (8)
Awsをオンプレドメコンに連携させる
- 2. あじぇんだ • オンプレドメコンと連携できる AWS サービス • Microsoft AD • AD Connector • MFA
- 4. 連携すると何がうれしい? • 日頃使用しているドメインアカウントで操作できる(UX up) • ID/Passwordの使いまわし撲滅(セキュリティ up) • AWSに作成するアカウントが少なくて済む(保守性 up) • ドメコン操作で AWS アクセス権付与/剥奪が完結(管理性 up)
- 5. EC2 インスタンス認証 • ドメイン参加している Windows Server EC2 インスタンス • LDAP 認証
- 6. Web Service ログイン認証 • AWS Management Console • IAM ロール コントロール可能 • Amazon WorkDocs • Amazon WorkSpaces • Amazon WorkSpaces Application Manager
- 7. ただし… • VPC を作成するためのアカウントは無くせない • ここだけはID/パスワード/MFA使いまわしになるので、共有範囲注意 • VPN or Direct Connect 必須
- 8. Microsoft AD
- 9. 構成 AD 認証 ドメインメンバードメイン コントローラー オンプレ AWS片方向信頼関係 on VPN or Direct Connect Microsoft AD
- 10. 仕組み • Microsoft AD の中身は Windows Server 2012 R2 AD DS • オンプレドメコンと Microsoft AD 間で片方向信頼関係を結ぶ • EC2 インスタンスを Microsoft AD のドメインメンバーにする • Linux 等は LDAP 認証が出来る(はず)
- 11. ただし… • VPN or Direct Connect 必須 • Microsoft AD そのものを操作する UI が提供されていない • ドメインメンバーに RSAT 入れる • Domain Admins は使えない • OU 配下の管理権限のみ • 0.445 USD/h
- 12. 使用プロトコル プロトコル ポート 方向 (MSAD : ADDS) DNS UDP/53 ←→ DNS TCP/53 ←→ LDAP UDP/389 → LDAP TCP/389 → SMB TCP/445 ←→ AD DS Web Services TCP/9389 → RPC TCP/135 → RPC TCP/49152 - 65535 → ICMP ping ←→
- 13. 運用 • 利用許可用セキュリティグループ作成 • 利用許可 • セキュリティグループにアカウント所属 • 利用許可終了 • セキュリティグループからアカウント離脱
- 14. AD Connector
- 15. 構成 認証 ドメイン コントローラー オンプレ AWS 認証(proxy) on VPN or Direct Connect AD Connecter Amazon WorkSpaces Amazon WorkDocs AWS Management Console AWS Directory Service
- 16. 仕組み • Web ログオンをオンプレ AD DS パススルー認証(proxy)
- 17. ただし… • VPN or Direct Connect 必須 • プログラム アクセス アカウントは管理対象外 • AWS 標準機能の MFA 使用不可 • 自前で MFA 実装が必要 • スモール(< 500 Users) 0.08 USD/h • ラージ (> 500 Users) 0.24 USD/h
- 18. 運用 • セキュリティグループ作成 • IAM ロールにセキュリティグループマッピング • 利用許可 • セキュリティグループにアカウント所属 • 利用許可終了 • セキュリティグループからアカウント離脱
- 19. 専用ログオン画面が生成される
- 24. 使用プロトコル プロトコル ポート 方向 ADDS/AD Connector DNS UDP/53 ← DNS TCP/53 ← LDAP UDP/389 ← LDAP TCP/389 ← Kerberos UDP/88 ← Kerberos TCP/88 ←
- 25. MFA
- 26. サードパーティ製 MFA が必要 • Windows 標準機能に MFA は無い • OSS に MFA はあるが、ドメインアカウント統合不可 • サードパーティ製の MFA が必要 → Duo Security 使う https://duo.com/
- 27. 構成 AD ConnectorAWS Management Console Account DB MFA Code Duo Application Proxy ドメイン コントローラー User ID Password MFA Code 管理者 管理者 利用者 ID Password 一次認証 ID MFA 二次認証 認証 情報取得 アカウント同期 メンテナンス メンテナンス AWS オンプレ Duo Security Duo Application Proxy VPN or Direct Connect
- 28. 認証の仕組み AD ConnectorAWS Management Console Account DB MFA Code ドメイン コントローラー User ID Password MFA Code 利用者 ID Password 一次認証 ID MFA 二次認証 認証 AWS オンプレ Duo Security Duo Application Proxy VPN or Direct Connect
- 29. 同期の仕組み AD ConnectorAWS Management Console Account DB MFA Code Duo Application Proxy ドメイン コントローラー User ID Password MFA Code 利用者 ID Password 一次認証 ID MFA 二次認証 認証 情報取得 アカウント同期 AWS オンプレ Duo Security Duo Application Proxy VPN or Direct Connect
- 30. メンテナンス AD ConnectorAWS Management Console Account DB MFA Code Duo Application Proxy ドメイン コントローラー User ID Password MFA Code 管理者 管理者 利用者 ID Password 一次認証 ID MFA 二次認証 認証 情報取得 アカウント同期 メンテナンス メンテナンス AWS オンプレ Duo Security Duo Application Proxy VPN or Direct Connect
- 31. ただし… • 管理業務発生 • MFA 認証 Duo Application Proxy 冗長化必須 • 有償 $3/月/人 • スマフォ必須 • ユーザーでの登録オペレーションが必要
- 32. 運用 • 同期設定 • アカウント同期するセキュリティグループ指定 • 利用許可 • セキュリティグループにアカウント所属 • enrollment メール自動送信 • 利用許可終了 • セキュリティグループからアカウント離脱 • スマフォ忘れた • MFA 一時的に無効 • スマフォ無くした • MFA 一時的に無効 • 削除して再登録
- 33. 同期するセキュリティグループ指定
- 34. MFA ログオン
- 35. 使用プロトコル AD ConnectorAWS Management Console Account DB MFA Code Duo Application Proxy ドメイン コントローラー User ID Password MFA Code 管理者 管理者 利用者 ID Password 一次認証 ID MFA 二次認証 認証 情報取得 アカウント同期 メンテナンス メンテナンス AWS オンプレ Duo Security Duo Application Proxy VPN or Direct Connect (1) (2) (3) (4)
- 36. 認証プロトコル プロトコル ポート 方向 AD connector/Duo Application Proxy RADIUS udp/1812 → (1) 二次認証 プロトコル ポート 方向 Duo Application Proxy/Duo Security https tcp/443 → (2) MFA 認証
- 37. (3) アカウント同期プロトコル プロトコル ポート 方向 Duo Application Proxy/Duo Security https tcp/443 →
- 38. (4) 情報取得プロトコル プロトコル ポート 方向 ADDS/Duo Application Proxy DNS tcp/53 ← DNS udp/53 ← LDAP udp/389 ← LDAP tcp/445 ← NTP udp/123 ← RPC tcp/135 ← RPC tcp/49152 - 65535 ←
- 39. コンポーネント必要単位 コンポーネント VPC Corp 費用 VPN or Direct Connect 〇 Microsoft AD 〇 0.445 USD/h AD Connector 〇 (< 500 Users) 0.08 USD/h (> 500 Users) 0.24 USD/h Duo Security 〇 3 USD/月/人 Duo Application Proxy(MFA 認証) 〇 (〇?) 不要(EC2 インスタンス費用のみ) 複数設定可能だが上限不明 Duo Application Proxy(アカウント同期) 〇 不要(オンプレサーバー費用のみ)
- 40. 構築手順等の詳細情報 • オンプレの AD DS と AWS の Microsoft AD 間で片方向信頼関係を結ぶ • http://www.vwnet.jp/Windows/Other/2017020601/AWS_MSAD_trust.htm • AWS Microsoft AD での片方向信頼関係の使い方 • http://www.vwnet.jp/Windows/Other/2017020701/UseMSAD_trust.htm • AWS Microsoft AD を操作する • http://www.vwnet.jp/Windows/Other/2017020801/ManageMSAD.htm • AWS の Web ログオンをオンプレ ドメイン コントローラーと連携させる • http://www.vwnet.jp/Windows/Other/2017021701/AWSADConnector.htm • オンプレ ドメイン コントローラーと連携させた AWS の Web ログオンを MFA 対応にする • http://www.vwnet.jp/Windows/Other/2017022701/ADDS_AWS_MFA.htm
- 41. まとめ • AWS とオンプレドメインを連携させると超便利 • IAMマッピングできるので日常運用はドメコン操作で完結 • MFAだってサードパーティ製品使えば出来る • AWSを使う時はオンプレドメイン連携しない手はないですネ