【セルフマネージドActive Directoryと信頼関係にあるAWS Managed Microsoft ADのユーザーを使ってAmazon FSx for NetApp ONTAPにSMBで接続してみた】
異なるドメインに参加しているファイルサーバーにアクセスしたいな こんにちは、のんピ(@non____97)です。 皆さんは異なるドメインに参加しているファイルサーバーにアクセスしたいなと思ったことはありますか? 私はあります。 特に起こりうるシチェーションとしてはAmazon Workspaces(以降Workspaces)を使用している場合です。WorkspacesはManaged Microsoft AD(Managed MSAD)に参加させ、ファイルサーバーはオンプレミスやVPC上にあるセルフマネージドADに属しているという場面はよくあるかと思います。 異なるドメインに参加しているファイルサーバーにアクセスする場合は、ドメイン間で信頼関係を組んであげる必要があります。信頼関係の仕組みは以下Microsoft公式ドキュメントをご覧ください。 また、その場合どのようにしてグループアカウントの運用を行い、どのようにしてアクセス許可をすれば良いのかも気になるかと思います。 試しにAmazon FSx for NetApp ONTAP(FSxN)をセルフマネージドADに参加させ、セルフマネージドADと信頼関係にあるAWS Managed Microsoft ADのユーザーを使ってFSxNにSMBで接続をします。 いきなりまとめ セルフマネージドActive Directoryと信頼関係にあるAWS Managed Microsoft ADのユーザーを使ってFSxNにSMBで接続することは可能 FSxNのSMBサーバーが属しているドメインと異なるドメインのユーザーからのアクセスを許可したい場合は、SMBサーバーのドメインからアクセス許可したいドメインユーザーのドメインへの片方向の信頼関係を作成する マルチプロトコルアクセスの場合は双方向の信頼関係を組む必要がある ドメインユーザーをグローバルセキュリティグループやドメインローカルグループに所属させた場合、一度サインアウトされるまで所属しているグループに対するアクセス権限はドメインユーザーに反映されない やってみた 検証環境 検証環境は以下のとおりです。 今回はcorp.non-97.netとnon-97.privateという2つのシングルフォレスト・シングルドメインの間で信頼関係(フォレストの信頼)を行います。なお、外部の信頼でも問題ないようです。 企業ドメインは信頼されたドメインのロールを担い、AWS Directory Service マネージドドメインは信頼するドメインのロールを担います。検証済み認証リクエストは、ドメイン間を一方向にしか移動しません。これにより、企業ドメインのアカウントがマネージドドメインで共有されているリソースに対して認証を行うことができます。この場合、Amazon FSx はマネージドドメインとのみ対話します。マネージドドメインは、認証リクエストを企業ドメインに渡します。 注記 信頼されたドメインに対して Amazon FSx で外部の信頼タイプを使用することもできます。 チュートリアル 1:スタートするための前提条件 - Amazon FSx for Windows File Server 今回はセルフマネージドADからManaged MSADへの一方向の信頼関係を組みます。マルチプロトコルアクセスを実現するためにUNIXユーザーをドメインユーザーにマッピングする際は双方向で信頼関係を組む必要があるようです。 原因 ONTAPは最初にUNIXユーザを認証し、次にS4U2Selfを使用してWindowsクレデンシャルを構築します(トークングループへのフォールバック)。 Kerberos制約委任では、ドメインAのサーバ(サービス)が、ドメインBのユーザの認可情報を要求している場合、双方向の信頼が必要なユーザの代わりにサービスチケットを取得できる必要があります。 RFE 1052237-NFSマウントが混在/ NTFSセキュリティ形式のボリューム/ qtreeを使用していて、環境に一方向の信頼がある場合に中断される 解決策 この問題を解決するには、双方向の信頼が必要です。 双方向の信頼によるエクスポージャーを制限するには、 選択認証を 使用して、CIFSサーバコンピュータオブジェクトなどの特定のオブジェクトのみが信頼を通過できないようにします。 ファイル所有権の設定ワークフローの一環として 、ONTAPはユーザ(所有者として設定)のWindowsグループメンバーシップを取得して ユーザクレデンシャルを作成します。 これにより、SVMは S4U2selfを使用してユーザのクレデンシャルを取得できます。これは 匿名のSAMRパイプを使用した場合に比べて正確であるだけでなく、より安全な 方法でもあります。 ONTAP は、一方向の信頼を介して、信頼できるドメインからWindowsユーザにUNIXユーザをマッピングすることができません - NetApp シングルフォレスト・シングルドメインの場合はAGDLP、マルチフォレストの場合はAGUDLPが推奨とされているようです。 アルファベットのそれぞれの意味は以下のとおりです。 A : Account (アカウント) G : Global Group (グローバルグループ) DL : Domain Local Group (ドメインローカルグループ) U : Universal Group (ユニバーサルグループ) P : Permission (権限) 急にユニバーサルグループやグローバルグループ、ドメインローカルグループと出てきましたが、こちらフォレストやドメインのリソースのグルーピングをする際に使用します。詳細は以下Microsoft公式ドキュメントをご覧ください。 ざっくりとした使い分けは以下で良いと思います。 ユニバーサルグループ: フォレスト内の複数のドメイン内のユーザーをグルーピングする場合 グローバルグループ: 単一ドメイン内のユーザーをグルーピングする場合 ドメインローカルグループ: […]
https://dev.classmethod.jp/articles/self-managed-active-directory-trust-relationship-aws-managed-microsoft-ad-amazon-fsx-netapp-ontap-smb-connection/
DevelopersIO RSS feed【非公式】
npub16u6…5q5c
2024-06-18 08:22:46
Author Public Key
npub16u6jx85wavk5n0kw5r46ma7dunupsp7acmtn3xys7keqvlsfjxpsar5q5cPublished at
2024-06-18 08:22:46Event JSON
{
"id": "299b09942e07b9c5fe2f0ff796587b67f96ee40137dacf30145b14eee19b08e0",
"pubkey": "d735231e8eeb2d49becea0ebadf7cde4f81807ddc6d7389890f5b2067e099183",
"created_at": 1718691766,
"kind": 1,
"tags": [
[
"r",
"https://dev.classmethod.jp/articles/self-managed-active-directory-trust-relationship-aws-managed-microsoft-ad-amazon-fsx-netapp-ontap-smb-connection/"
],
[
"proxy",
"https://dev.classmethod.jp/feed/#https://dev.classmethod.jp/articles/self-managed-active-directory-trust-relationship-aws-managed-microsoft-ad-amazon-fsx-netapp-ontap-smb-connection/",
"rss"
]
],
"content": "【セルフマネージドActive Directoryと信頼関係にあるAWS Managed Microsoft ADのユーザーを使ってAmazon FSx for NetApp ONTAPにSMBで接続してみた】\n異なるドメインに参加しているファイルサーバーにアクセスしたいな こんにちは、のんピ(@non____97)です。 皆さんは異なるドメインに参加しているファイルサーバーにアクセスしたいなと思ったことはありますか? 私はあります。 特に起こりうるシチェーションとしてはAmazon Workspaces(以降Workspaces)を使用している場合です。WorkspacesはManaged Microsoft AD(Managed MSAD)に参加させ、ファイルサーバーはオンプレミスやVPC上にあるセルフマネージドADに属しているという場面はよくあるかと思います。 異なるドメインに参加しているファイルサーバーにアクセスする場合は、ドメイン間で信頼関係を組んであげる必要があります。信頼関係の仕組みは以下Microsoft公式ドキュメントをご覧ください。 また、その場合どのようにしてグループアカウントの運用を行い、どのようにしてアクセス許可をすれば良いのかも気になるかと思います。 試しにAmazon FSx for NetApp ONTAP(FSxN)をセルフマネージドADに参加させ、セルフマネージドADと信頼関係にあるAWS Managed Microsoft ADのユーザーを使ってFSxNにSMBで接続をします。 いきなりまとめ セルフマネージドActive Directoryと信頼関係にあるAWS Managed Microsoft ADのユーザーを使ってFSxNにSMBで接続することは可能 FSxNのSMBサーバーが属しているドメインと異なるドメインのユーザーからのアクセスを許可したい場合は、SMBサーバーのドメインからアクセス許可したいドメインユーザーのドメインへの片方向の信頼関係を作成する マルチプロトコルアクセスの場合は双方向の信頼関係を組む必要がある ドメインユーザーをグローバルセキュリティグループやドメインローカルグループに所属させた場合、一度サインアウトされるまで所属しているグループに対するアクセス権限はドメインユーザーに反映されない やってみた 検証環境 検証環境は以下のとおりです。 今回はcorp.non-97.netとnon-97.privateという2つのシングルフォレスト・シングルドメインの間で信頼関係(フォレストの信頼)を行います。なお、外部の信頼でも問題ないようです。 企業ドメインは信頼されたドメインのロールを担い、AWS Directory Service マネージドドメインは信頼するドメインのロールを担います。検証済み認証リクエストは、ドメイン間を一方向にしか移動しません。これにより、企業ドメインのアカウントがマネージドドメインで共有されているリソースに対して認証を行うことができます。この場合、Amazon FSx はマネージドドメインとのみ対話します。マネージドドメインは、認証リクエストを企業ドメインに渡します。 注記 信頼されたドメインに対して Amazon FSx で外部の信頼タイプを使用することもできます。 チュートリアル 1:スタートするための前提条件 - Amazon FSx for Windows File Server 今回はセルフマネージドADからManaged MSADへの一方向の信頼関係を組みます。マルチプロトコルアクセスを実現するためにUNIXユーザーをドメインユーザーにマッピングする際は双方向で信頼関係を組む必要があるようです。 原因 ONTAPは最初にUNIXユーザを認証し、次にS4U2Selfを使用してWindowsクレデンシャルを構築します(トークングループへのフォールバック)。 Kerberos制約委任では、ドメインAのサーバ(サービス)が、ドメインBのユーザの認可情報を要求している場合、双方向の信頼が必要なユーザの代わりにサービスチケットを取得できる必要があります。 RFE 1052237-NFSマウントが混在/ NTFSセキュリティ形式のボリューム/ qtreeを使用していて、環境に一方向の信頼がある場合に中断される 解決策 この問題を解決するには、双方向の信頼が必要です。 双方向の信頼によるエクスポージャーを制限するには、 選択認証を 使用して、CIFSサーバコンピュータオブジェクトなどの特定のオブジェクトのみが信頼を通過できないようにします。 ファイル所有権の設定ワークフローの一環として 、ONTAPはユーザ(所有者として設定)のWindowsグループメンバーシップを取得して ユーザクレデンシャルを作成します。 これにより、SVMは S4U2selfを使用してユーザのクレデンシャルを取得できます。これは 匿名のSAMRパイプを使用した場合に比べて正確であるだけでなく、より安全な 方法でもあります。 ONTAP は、一方向の信頼を介して、信頼できるドメインからWindowsユーザにUNIXユーザをマッピングすることができません - NetApp シングルフォレスト・シングルドメインの場合はAGDLP、マルチフォレストの場合はAGUDLPが推奨とされているようです。 アルファベットのそれぞれの意味は以下のとおりです。 A : Account (アカウント) G : Global Group (グローバルグループ) DL : Domain Local Group (ドメインローカルグループ) U : Universal Group (ユニバーサルグループ) P : Permission (権限) 急にユニバーサルグループやグローバルグループ、ドメインローカルグループと出てきましたが、こちらフォレストやドメインのリソースのグルーピングをする際に使用します。詳細は以下Microsoft公式ドキュメントをご覧ください。 ざっくりとした使い分けは以下で良いと思います。 ユニバーサルグループ: フォレスト内の複数のドメイン内のユーザーをグルーピングする場合 グローバルグループ: 単一ドメイン内のユーザーをグルーピングする場合 ドメインローカルグループ: […]\nhttps://dev.classmethod.jp/articles/self-managed-active-directory-trust-relationship-aws-managed-microsoft-ad-amazon-fsx-netapp-ontap-smb-connection/",
"sig": "eeb7e50651689509d3a462b4503c8b707a3cb4907b696f1048bc8bb38da2d37b21824f34671f42944459c9afaf16011783fee121a14b85e1a94bb872c300653a"
}