どんまいこのネタ帳

花嫁修業だけでなくテックな修行のためアウトプットしていこうかと。ネットワーク/アプリ/サービスとりあえずなんでも

ADなにそれおいしくない(泣)

こんにちは。GWの予定は特にないのでお勉強週間です。 思わず眠くなりそうなので温泉に行って合宿したい。 社内管理に携わらず会社でActive Directory触れずに育ったら、彼らの実態を大して知らぬままこんな歳になってしまいました。 とはいえ、Windowsシステムを利用する企業が多い中Active Directoryは切っても切れぬ関係だと思い直し、泣く泣く勉強したメモを書き連ねます。

Active Directoryの一般的な話をざざざっと

Active Directoryとは

  • ディレクトリ・サービスと呼ばれるネットワーク・サービスをWindows 2000上で実装したもの
  • ADは恐れずとも、インターネットの標準技術を採用している
  • ドメインで管理している
    • 1つのドメイン内にユーザー、コンピュータ、グループ、サービス
  • ドメイン内のユーザー、グループをさらに細かく管理する「OU(Organization Unit、組織単位)」を使う
  • ユーザー数、拠点数が多ければ複数のドメインを作る。その階層構造を「ドメイン・ツリー」と呼ぶ
  • ドメイン・ツリーを分けても同じ組織に所属する構成にすることを「ドメイン・ツリー同士で信頼関係を結ぶ」という
  • 信頼関係を結ぶことを「フォレスト」と呼ぶ

Active Directory用語がたくさん

Active Directoryが提供する役割

Active Directoryが提供する役割はざっと5つ

  1. Active Directory ドメインサービス(AD DS)
    • ドメインの機能
    • ドメインサービスを提供するサーバーをドメインコントローラーと呼ぶ
    • ドメインコントローラーの役割は下記3つ
      • ディレクトリデータベース
      • 認証と承認
      • グループポリシーによるユーザー/コンピュータを制御
  2. Active Directory フェデレーションサービス(ADFS)
  3. Active Directory 証明書サービス(AD CS)
  4. Active Directory ライトウェイトディレクトリサービス(AD LDS)
    • ディレクトリデータベースの機能
  5. Active Directory Rights Managementサービス(AD RMS)
    • 特定のファイルに対する暗号化とアクセス制御の機能

ドメインコントローラーの役割のくだりに気になる用語があったので詳細↓↓

ディレクトリデータベース

  • LDAPを採用
  • 保存されるデータはオブジェクトと呼ぶ
    • ユーザーを作成すればユーザーという種類のオブジェクトを作成したこと
  • オブジェクトの付随する項目をプロパティ(属性)と呼ぶ

認証と承認

  • Kerberosを採用
  • ユーザー名に対しパスワードが正しいことを確認する作業を認証
    • ドメインコントローラーに問合せて認証されればチケットをもらう
  • ユーザーがアクセスできる範囲を確認する
    • 認証でもらったチケットを元にドメインコントローラーに問合せて、特定のサーバー、環境にアクセスできるチケットをもらう
  • 基本はドメインの中だけの認証/承認となる
  • クラウドサービスを利用する場合
    • SAMLというプロトコルを使ってKerberosで認証したIDをそのまま使うID連携ができる
    • SAMLで利用可能なトークンはADFSからもらう
    • そのためクラウドサービスとID連携するにはドメインコントローラー→ADFS→クラウドサービスで認証する

グループポリシーによるユーザー/コンピュータを制御

  • グループポリシーはユーザーやコンピュータの設定を統一できるもの
  • グループポリシーを設定すれば各クライアントに設定しなくても自動的に割り当てられる
  • ユーザーがドメインコントローラーに接続することで設定をもってくる

突然出てきたFSMO

同じドメイン内のドメインコントローラーはすべて同じデータベース情報をもっていますが、ただ、1台のドメインコントローラーだけには特別な役割を処理しています その特別な役割が \ふぃずも/\FSMO/\Flexible Single Master Operation/

  • FSMOの役割
役割 処理
スキーママスタ ADデータベースのスキーマ変更処理
ドメイン名前付けマスタ フォレストに対するドメインの追加や削除
RIDマスタ ユーザーアカウントで利用されるSIDの一部、RID(Relative ID)の生成
PDCマスタ 旧バージョンのクライアントやWindows NTバックアップドメインコントローラーがドメインに含まれている場合、本役割がWindows NT プライマリドメインコントローラーとして動作する
インフラストラクチャマスタ グループアカウントにおけるメンバーの割当

Active Directoryを移行するときは、FSMOの役割を移行先のドメインコントローラーに引き継がないとやばす

AWS上ならどうするの

源太さんのためになる資料

www.slideshare.net

これも源太さんだった!

AWS Solutions Architect ブログ: AD ConnectorをつかったオンプレミスのActive DirectoryからAWSへの接続方法

AWSに接続するためのフェデレーションはAD Connector使えるなら使おうぜっていう ADFSとSAMLの認証は諸々大変だし、AD Connectorならマネージドで運用しやすいよっていう

まとめ

Active Directoryのつらみを知ったので今度は運用のことを考える

参考資料