ADなにそれおいしくない(泣)
こんにちは。GWの予定は特にないのでお勉強週間です。 思わず眠くなりそうなので温泉に行って合宿したい。 社内管理に携わらず会社でActive Directory触れずに育ったら、彼らの実態を大して知らぬままこんな歳になってしまいました。 とはいえ、Windowsシステムを利用する企業が多い中Active Directoryは切っても切れぬ関係だと思い直し、泣く泣く勉強したメモを書き連ねます。
Active Directoryの一般的な話をざざざっと
Active Directoryとは
- ディレクトリ・サービスと呼ばれるネットワーク・サービスをWindows 2000上で実装したもの
- ディレクトリ:電話帳、住所録、名鑑とか
- ディレクトリ・サービス:住所録を基に案内してくれるサービス
- ADは恐れずとも、インターネットの標準技術を採用している
- ドメインで管理している
- 1つのドメイン内にユーザー、コンピュータ、グループ、サービス
- ドメイン内のユーザー、グループをさらに細かく管理する「OU(Organization Unit、組織単位)」を使う
- ユーザー数、拠点数が多ければ複数のドメインを作る。その階層構造を「ドメイン・ツリー」と呼ぶ
- ドメイン・ツリーを分けても同じ組織に所属する構成にすることを「ドメイン・ツリー同士で信頼関係を結ぶ」という
- 信頼関係を結ぶことを「フォレスト」と呼ぶ
Active Directory用語がたくさん
Active Directoryが提供する役割
Active Directoryが提供する役割はざっと5つ
- Active Directory ドメインサービス(AD DS)
- Active Directory フェデレーションサービス(ADFS)
- 組織間のシングルサインオンの機能
- Active Directory 証明書サービス(AD CS)
- 社内認証局としての機能
- Active Directory ライトウェイトディレクトリサービス(AD LDS)
- ディレクトリデータベースの機能
- Active Directory Rights Managementサービス(AD RMS)
- 特定のファイルに対する暗号化とアクセス制御の機能
ドメインコントローラーの役割のくだりに気になる用語があったので詳細↓↓
ディレクトリデータベース
- LDAPを採用
- 保存されるデータはオブジェクトと呼ぶ
- ユーザーを作成すればユーザーという種類のオブジェクトを作成したこと
- オブジェクトの付随する項目をプロパティ(属性)と呼ぶ
認証と承認
- Kerberosを採用
- ユーザー名に対しパスワードが正しいことを確認する作業を認証
- ドメインコントローラーに問合せて認証されればチケットをもらう
- ユーザーがアクセスできる範囲を確認する
- 認証でもらったチケットを元にドメインコントローラーに問合せて、特定のサーバー、環境にアクセスできるチケットをもらう
- 基本はドメインの中だけの認証/承認となる
- クラウドサービスを利用する場合
グループポリシーによるユーザー/コンピュータを制御
- グループポリシーはユーザーやコンピュータの設定を統一できるもの
- グループポリシーを設定すれば各クライアントに設定しなくても自動的に割り当てられる
- ユーザーがドメインコントローラーに接続することで設定をもってくる
突然出てきたFSMO
同じドメイン内のドメインコントローラーはすべて同じデータベース情報をもっていますが、ただ、1台のドメインコントローラーだけには特別な役割を処理しています その特別な役割が \ふぃずも/\FSMO/\Flexible Single Master Operation/
- FSMOの役割
役割 | 処理 |
---|---|
スキーママスタ | ADデータベースのスキーマ変更処理 |
ドメイン名前付けマスタ | フォレストに対するドメインの追加や削除 |
RIDマスタ | ユーザーアカウントで利用されるSIDの一部、RID(Relative ID)の生成 |
PDCマスタ | 旧バージョンのクライアントやWindows NTバックアップドメインコントローラーがドメインに含まれている場合、本役割がWindows NT プライマリドメインコントローラーとして動作する |
インフラストラクチャマスタ | グループアカウントにおけるメンバーの割当 |
Active Directoryを移行するときは、FSMOの役割を移行先のドメインコントローラーに引き継がないとやばす
AWS上ならどうするの
源太さんのためになる資料
www.slideshare.net
これも源太さんだった!
AWS Solutions Architect ブログ: AD ConnectorをつかったオンプレミスのActive DirectoryからAWSへの接続方法
AWSに接続するためのフェデレーションはAD Connector使えるなら使おうぜっていう ADFSとSAMLの認証は諸々大変だし、AD Connectorならマネージドで運用しやすいよっていう
まとめ
Active Directoryのつらみを知ったので今度は運用のことを考える
参考資料
- 管理者のためのActive Directory入門:第1回 Active Directoryとは何か? (1/4) - @IT
- AD FS の概要
- 基礎から分かるActive Directory再入門(2):Active Directoryドメインって何ですか - @IT
- 基礎から分かるActive Directory再入門(3):ドメインコントローラーの役割とは - @IT
- Tech TIPS:Active DirectoryのFSMO役割のサーバをntdsutil.exeコマンドで調査する(Windowsコマンドプロンプト編) - @IT
- Deployment Active Directory
- 操作マスタの役割