Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

JAWS-UG CLI #33 LT - AWS Directory Serviceを LDAP Serverとして 利用してみた

243 views

Published on

AWS Directory Serviceを LDAP Serverとして 利用してみた

Published in: Technology
  • Be the first to comment

  • Be the first to like this

JAWS-UG CLI #33 LT - AWS Directory Serviceを LDAP Serverとして 利用してみた

  1. 1. JAWS-UG CLI #33 LT AWS Directory Serviceを LDAP Serverとして 利用してみた 2015/11/23 Mon Nobuhiro Nakayama
  2. 2. { "name":"Nobuhiro Nakayama", "company":"UCHIDAYOKO CO., LTD.", "favorite aws services":[ "Storage Gateway", "Directory Service", "IAM", "AWS CLI" ], "certifications":[ "AWS Certified Solutions Architect-Professional", "AWS Certified SysOps Administrator-Associate", "Microsoft Certified Solutions Expert Server Infrastructure", "Microsoft Certified Solutions Expert SharePoint", "IPA Network Specialist", "IPA Information Security Specialist" ] }
  3. 3. Agenda • ID管理の実態 • LDAP連携をやってみた • GitLabの場合 2015/11/23 3
  4. 4. ID管理の実態 • システム毎に独自DBでID管理? • 工数∝ユーザ数×システム数 • THE 刺身タンポポ! • メンテナンスされず、放置されるユーザ • 退職したユーザによる不正なアクセスなど、リスクが増加 • ユーザも大変・・・ • 覚えきれないパスワード・・・ • パスワードの使い回しが横行・・・ • パスワードポリシーを厳しくするとユーザの負担が増大・・ 2015/11/23 4
  5. 5. ID管理および認証機能の一元化 • Directory ServiceのディレクトリはLDAPをしゃべれる! • ユーザと認証を集約できる • 管理工数∝ユーザ数 • 単一のIDで各システムを利用できる • ユーザが覚える必要のあるパスワードが削減できる 2015/11/23 5
  6. 6. GitLabでやってみた • 手順 • Directoryの作成 • #32の資料をご確認ください • GitLabのインストール • 認証連携の設定 2015/11/23 6
  7. 7. GitLabのインストール • 手っ取り早くインストールしたい場合 • Install a GitLab CE Omnibus package • https://about.gitlab.com/downloads/#centos6 • Amazon Linuxの場合、lokkitによる設定は省略 • 詳細はこちら • Installation from source • http://doc.gitlab.com/ce/install/installation.html 2015/11/23 7
  8. 8. 設定ファイル • 以下の設定ファイルを編集 • sudo vi /opt/gitlab/embedded/service/gitlab-rails/config/gitlab.yml • GitLab CE Omnibus packageでインストールした環境であることが前提 2015/11/23 8
  9. 9. 編集前 # # 3. Auth settings # ========================== ## LDAP settings # You can inspect a sample of the LDAP users with login access by running: # bundle exec rake gitlab:ldap:check RAILS_ENV=production ldap: enabled: false host: port: uid: method: # "tls" or "ssl" or "plain" bind_dn: password: active_directory: allow_username_or_email_login: base: user_filter: 2015/11/23 9
  10. 10. 編集後 # # 3. Auth settings # ========================== ## LDAP settings # You can inspect a sample of the LDAP users with login access by running: # bundle exec rake gitlab:ldap:check RAILS_ENV=production ldap: enabled: true host: ***.***.***.*** port: 389 uid: sAMAccountName method: plain # "tls" or "ssl" or "plain" bind_dn: CN=Administrator,CN=Users,DC=gitlab,DC=local password: ******** active_directory: true allow_username_or_email_login: false base: DC=gitlab,DC=local user_filter: 2015/11/23 10
  11. 11. 再起動後・・・ 2015/11/23 11
  12. 12. 識別名とは? • Sambaでは、ユーザやコンピュータは階層的に管理されている • 階層の位置を識別名で表現する • 上位の階層ほど、後半に記載 2015/11/23 12
  13. 13. ADSIエディタ • Windowsでユーザを管理する際、オブジェクトの詳細な属性を確認および編集できる 2015/11/23 13
  14. 14. ADSIエディタ 2015/11/23 14
  15. 15. ADSIエディタ 2015/11/23 15
  16. 16. sAMAccountName 2015/11/23 16
  17. 17. Demo 2015/11/23 17
  18. 18. まとめ • IDは集中管理しましょう • 管理工数が増えるだけでなく、セキュリティ上のリスクも増える • LDAP連携は簡単です 2015/11/23 18
  19. 19. 余談 • GitLabでは、RedisやPostgreSQL、Postfixを利用している • Elastic CacheやRDS、SESなどで代替した環境を構築するハンズオンとか、実用的なものを やってみたい 2015/11/23 19

×