Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

2014.09.11 よくわかるWorkSpaces 「クラウドでのディレクトリ構築 - Active Directory連携」

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Wird geladen in …3
×

Hier ansehen

1 von 29 Anzeige

2014.09.11 よくわかるWorkSpaces 「クラウドでのディレクトリ構築 - Active Directory連携」

Herunterladen, um offline zu lesen

2014.09.11にアマゾン大阪支社で開催した、よくわかるWorkSpaces 「クラウドでのディレクトリ構築 - Active Directory連携」セミナーのプレゼン資料です。

2014.09.11にアマゾン大阪支社で開催した、よくわかるWorkSpaces 「クラウドでのディレクトリ構築 - Active Directory連携」セミナーのプレゼン資料です。

Anzeige
Anzeige

Weitere Verwandte Inhalte

Diashows für Sie (20)

Ähnlich wie 2014.09.11 よくわかるWorkSpaces 「クラウドでのディレクトリ構築 - Active Directory連携」 (20)

Anzeige

Aktuellste (20)

2014.09.11 よくわかるWorkSpaces 「クラウドでのディレクトリ構築 - Active Directory連携」

  1. 1. クラウドでのディレクトリ構築 〜~ Active Directory 連携 Amazon Data Services Japan株式会社 ⻄西⽇日本担当 Solution Architect 辻 義⼀一
  2. 2. ディレクトリとは ! ユーザに関わる各種情報を保管する仕組み • ユーザ名 • 姓・名、部署、電話番号 • メールアドレス • パスワード • グループ など ! ツリー状の構成とする事が多いことから、 ディレクトリと呼ばれる。 ! 関連⽤用語:LDAP、Active Directory、OpenLDAP
  3. 3. WorkSpacesのディレクトリ選択肢 Cloud Directory フルマネージドのディレクトリ サービス WorkSpaces用に独立したドメインを作成 Connect Directory 既存のディレクトリに接続 オンプレミスまたはVPC上の Active Directoryドメインと連携
  4. 4. 1 Cloud Directory
  5. 5. Cloud Directory ! フルマネージド型のディレクトリサービス ! WorkSpaces/Zocalo⽤用でAWSだけで完結 ! 以下の情報をWebで指定するだけで簡単作成 • 組織名(AWS全体でユニークな名前) • ディレクトリDNS名 • NetBIOSドメイン名 • 管理理者パスワード • VPC • サブネット(アベイラビリティゾーンが異異なる2個以上) ! 簡単管理理、しかも無料料
  6. 6. 作成されるCloud Directory環境 ! Active Directory互換のディレクトリ環境 ! Multi-‐‑‒AZ構成でVPC内の2つのサブネットに設置される • ドメインコントローラ・DNSサーバとして機能する。 • コントローラはEC2インスタンスとして表⽰示されない。ENIは表⽰示される。 ! Active Directoryの管理理ツールから操作可能 例例) • Active Directory ユーザーとコンピュータ • グループポリシーの管理理 ドメインコントローラ (PCoIP⽤用のテンプレートあり) サブネット アベイラビリティゾーン -‐‑‒ A ドメインコントローラ サブネット アベイラビリティゾーン -‐‑‒ B
  7. 7. Cloud Directoryのネットワーク接続 プライベートサブネット アベイラビリティゾーン WorkSpaces APIエンドポイント Public IP Public IP 個別ユーザの WorkSpace PCoIP Cloud Directory ドメイン参加・ ドメインログオン 認証
  8. 8. ユーザ管理理 ! Management ConsoleのWorkSpacesから • ユーザの追加 • ユーザの姓・名・メールアドレス変更更 ! Windows上にリモートサーバ管理理ツールをインストールして • ユーザの追加 • ユーザの性・名・メールアドレス変更更 • ユーザの削除 • ユーザのパスワードリセット ! WorkSpaces Clientからユーザ ⾃自⾝身でパスワードリセットも
  9. 9. Security Group ! デフォルトで設定されるSecurity Groupと 追加で指定できるSecurity Groupがある • ドメインコントローラ⽤用 ⎼ ⾃自動作成:directory id_̲controllers • WorkSpace⽤用 ⎼ ⾃自動作成:directory id_̲workspacesMembers ⎼ 追加指定:名前は任意 ! Management ConsoleのEC2から確認及び設定変更更が可能 ! WorkSpaceがドメインにログオンできるように、 ドメインコントローラとの通信はデフォルトで許可済み
  10. 10. ディレクトリ設定 ! Organizational Unit(OU)設定 • WorkSpaceのコンピュータアカウントが作成されるOUを指定 • デフォルトではComputersコンテナに作成される ! Security Group設定 • WorkSpaceのVPC内ENIに適⽤用されるSecurity Groupを指定 • デフォルトのSecurity Groupに加えて設定される
  11. 11. 2 Connect Directory
  12. 12. Connect Directory ! 既存のActive Directoryと接続して、Active Directoryの ユーザでWorkSpaces/Zocaloでの認証を⾏行行える仕組み ! メリットがいろいろ • 社内のPCと同じユーザ名・パスワードを使⽤用できるので、 新しいユーザ名・パスワードを覚えずに済む。 • アカウントの管理理、パスワードのリセットなどの運⽤用が 追加にならないので、運⽤用コストを抑えられる。 • ファイルサーバなど既存のアクセス権をそのまま使える。
  13. 13. Connect Directoryの必要要件 ! Amazon VPC • インターネット ゲートウェイ • オンプレミス上のActive Directoryと連携させる場合、 VPN接続またはDirect Connect接続 ! ドメインアカウント • ユーザーとグループへの読み取り • コンピュータアカウントの作成 ! DNSサーバ(ドメインコントローラ)2台のIPアドレス ! Windows Server 2003以上の機能レベル
  14. 14. 作成されるConnect Directory環境 ! VPC内に認証⽤用のプロキシが作成される ! Multi-‐‑‒AZ構成でVPC内の2つのサブネットに設置される Connect Directory サブネット アベイラビリティゾーン -‐‑‒ A Connect Directory サブネット アベイラビリティゾーン -‐‑‒ B Direct Connect/ VPN接続 オンプレミス 社内AD ドメイン コントローラ
  15. 15. Connect Directoryのネットワーク接続 プライベートサブネット アベイラビリティゾーン A WorkSpaces ネットワーク VPN接続 Public IP Public IP オンプレミス 個別ユーザWorkSpace (社内AD参加) 社内AD PCoIP ユーザ情報確認 Connect Directory ドメイン参加・ ドメインログオン 認証
  16. 16. ユーザ管理理 ! これまでのActive Directoryのユーザ管理理と同じ • Management ConsoleのWorkSpacesからは⾏行行えない • WorkSpaces Clientのパスワードリセット機能は使えない
  17. 17. ディレクトリ設定 ! ドメイン・Organizational Unit(OU)設定 ! Security Group設定 ! Active Directoryへの接続に使⽤用するユーザ設定 ! Multi-‐‑‒Factor Authentication設定
  18. 18. 3 Multi-‐‑‒Factor Authentication
  19. 19. 多要素認証 Multi-‐‑‒Factor Authentication(MFA) ! Connect Directoryで利利⽤用可能 ! RADIUSサーバーを経由したMFAに対応 • ワンタイムパスワード等に対応 • スマートカードや証明書には未対応 • Symantec Validation and ID Protection Service (VIP) および Microsoft RADIUS Serverでテスト済 ! 既にお使いのワンタイムトークンがそのまま 使える可能性もあり
  20. 20. (例例) Google Authenticatorを使った⽅方法 ! スマートフォンに無料料でインストールできる Google Authenticatorをソフトウェアトークンとして利利⽤用 ! 仮想マシンEC2にオープンソースのFreeRADIUSと Google AuthenticatorのPAM(Pluggable Authentication Module)を連携させてRADIUSサーバを構築 ※ユーザ登録時のGUIは無くコマンドライン操作が必要になります。
  21. 21. Demo ! ADでユーザ作成し、そのユーザにWorkSpaceを作成 ! スマホのGoogle Authenticatorで2要素認証してログイン
  22. 22. 認証の流流れ -‐‑‒ 1 ! デバイスで初めて使う時、 招待メールに記載されていた 登録コードを⼊入⼒力力します。
  23. 23. 認証の流流れ -‐‑‒ 2 ! Active Directoryで使っているのと 同じユーザ名とパスワード を⼊入⼒力力します。
  24. 24. 認証の流流れ -‐‑‒ 3 ! トークンに表⽰示されている ワンタイムパスワードを 確認して⼊入⼒力力します。
  25. 25. まとめ ! Cloud Directory • ⾃自社にActive Directoryが無いユーザー向け • ディレクトリの管理理はAWSにお任せ • すぐにWorkSpacesを使いたい場合に利利⽤用 ! Connect Directory • 社内のActive Directoryと連携 • 既存のユーザーやセキュリティグループによる権限付与 • 多要素認証を利利⽤用
  26. 26. Tips – ソフトウェア配布 ! WSUSを使ってWindowsパッチ適⽤用を管理理 ! グループポリシーを使ったアプリ配布(.msi / .zap) http://docs.aws.amazon.com/workspaces/latest/adminguide/gpo_̲app_̲install.html ! ログオンスクリプトでインストール ! サードパーティソフトを使ってアプリ配布
  27. 27. Tips – デフォルトのWorkSpace環境 ! WorkSpaceには主に以下の内容のポリシーがデフォルトで 適⽤用済み • コンピューターの構成 -‐‑‒ 管理理⽤用テンプレート -‐‑‒ Windows コンポーネント -‐‑‒ リモート デスクトップ サービス 例例)オーディオのリダイレクトを許可 -‐‑‒ システム • ユーザーの構成 -‐‑‒ 管理理⽤用テンプレート -‐‑‒ Windows コンポーネント -‐‑‒ エクスプローラー 例例)Cドライブの⾮非表⽰示 -‐‑‒ コントロールパネル ! ユーザプロファイルはDドライブに保存される
  28. 28. Tips – Cloud Directoryの管理理⽅方法 ! Cloud Directoryのドメインに参加するEC2インスタンスを 作成して、Active Directory管理理ツールを使⽤用する。 • EC2インスタンスのネットワーク設定で、DNSサーバにはCloud DirectoryのDNSサーバを指定 • EC2インスタンスのドメイン参加操作時には、Cloud Directory作成時 に指定したAdministratorのパスワードを使⽤用する • 管理理作業が終われば、EC2インスタンスは停⽌止してOK

×