Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

はじめてのAWS・初めてのJAWS UG沖縄

1,911 views

Published on

AWS DirectoryServiceとVPNを使って社内リソースをActiceDirectoryに参加させてみた

Published in: Technology
  • Be the first to comment

  • Be the first to like this

はじめてのAWS・初めてのJAWS UG沖縄

  1. 1. はじめてのAWS
  2. 2. 自己紹介 @tsune_hide 名前 山城 常秀 年齢 33 性格 真面目な天邪鬼 座右の銘 自信はもっても満足しな い 気になるサービス VPC / Direct Connect / VPN
  3. 3. 趣味 アニメ、アニメ、アニメ、アニメ、映画、アニメ、、、、 他にも何か・・・ 今期見ているアニメ:マクロス⊿、魔装学園HxH、クロムクロ、 ReLife、ねじ巻き精霊戦記 天鏡のアルデラミン Re:ゼロから始める異世界生活
  4. 4. 趣味 IT全般 山城家には モバイル端末管理のためのMDM※導入済み 複数台のiPhone、iPad、Androidなどのスマートフォンおよびタブレット端末をリモートで一元管 理できる GoogleApps for work 導入済み WiFi APいじったり、電波計測 ルータがFirewallだったり・・・
  5. 5. お仕事の内容 現在の勤め先 株式会社レキサス (ジョイン歴 6ヶ月) 仕事の内容 情報システム + 業務改善リスト 社内の情報基盤強化 セキュリティマネジメント(ISMS) それ以前の経歴 ソフトウェアベンダー:インフラ設計、PG 3年 動物病院:情シス、経営企画、経理、マネジメント 8年
  6. 6. AWS経験歴 ゼロ年 ・AWSを知ったの1年ほど前 ・JAWS-UG 2016年1月初参加 ・本日、初登壇
  7. 7. 再スタートしたばかりのエンジニアを 暖かく迎えてくださいmm 熱い熱いサーバレストーク
  8. 8. Re:ゼロ から始めるAWS生活 情シスの 〜AWS Directory Service編〜
  9. 9. AWS Directory Serviceって何なの?
  10. 10. Active Directoryとは ActiveDirectoryに含まれる機能 ・ユーザの管理 ID、属性、所属グループや権限を管理 ・ユーザ認証 異なるコンピュータ間でシングルサインオンを提供 ・コンピュータの管理 ドメイン参加したコンピュータの名前解決(DNS) ・グループポリシー ユーザやコンピュータの設定を一元管理
  11. 11. DirectoryServiceやってみようと思ったきっかけ AWS でActive Directory? Microsoft ? Windows Server Windows Serverとか人気なさそうwww (特にレキサスでは) 情シス的にやってみるか ←いまここ
  12. 12. 何をやるか? 社内リソースからドメイン参加できないのか?
  13. 13. やってみたこと ・社内から使えないのか? ・グループポリシー適用(パスワード制限) 準備するもの ・VPC ・DirectoryService(Simple AD) ・IPSec対応ルータ (Yamaha SRT100) ・Windows Proエディション
  14. 14. 構成 VPN はNATトラバーサル対応
  15. 15. VPC+VPN構築 ・異なるアベイラビリティーゾーンに2つのサブネットが必要 ※後のDirectory Service作成時に必須
  16. 16. VPN設定 (AWS / 社内) ・ルータ設定は自動生成(IPSec / BGP含む) ※NAT配下の場合はlocal addressの変更 / bgp equalを変更
  17. 17. SimpleAD ・Directory DNSのみ注意 ・DNS Serverが2つできる
  18. 18. セキュリティグループ変更 ・VPN経由を許可 インバウンド許可 TCP/UDP 53 - DNS TCP/UDP 88 - Kerberos authentication UDP 123 - NTP TCP 135 - RPC UDP 137-138 - Netlogon TCP 139 - Netlogon TCP/UDP 389 - LDAP; note that AWS Directory Service does not support LDAP with SSL (LDAPS) or LDAP signing TCP/UDP 445 - SMB TCP 873 - FRS TCP 3268 - Global Catalog TCP/UDP 1024-65535 - Ephemeral ports for RPC
  19. 19. クライアント側 ・DNSの宛先変更 ・MacOSX/LinuxもActiveDirectory参加可能 管理 ・リモートサーバ管理ツールが必要 つらいGUI設定不可避仕様...
  20. 20. これだけで終わり 所要時間 1〜2時間程度(慣れたら30分) 引っかかった箇所 ・セキュリティグループ × VPNルータFirewall
  21. 21. 結論 ・EC2/WorkspaceなどAWSリソース以外からも利用可能 ・社内にグループポリシー適用可能 ・UserCAL不要 注意事項 ・SimpleAD(Small/Large)とMicrosoft AD(Enterprise)できることが異なる 信頼関係NG / ユーザ移行NG / MFA認証NG
  22. 22. メリット Windows Server 2012R2 Active Directory ファイル 共有 ハードウェア Windows Server 2012R2 Active Directory ファイル 共有 EC2 AWS Directory 共有 ディスク ・運用コスト削減
  23. 23. サーバレスから 情報システム部門レスへ
  24. 24. 運用保守から セキュリティ強化へ
  25. 25. ご清聴ありがとうございました
  26. 26. 質疑応答への回答 Q1.価格 Q2.SimpleADはユーザインポートできるとのことだがパスワードは? 既存ADからcsv形式で出力したファイルは読み込めるがパスワードが含まれないため不可 Q2.単一障害点にならない? デフォルト2つAZ構成 Q3.通信障害は? 心配であれば ISP回線を使わないDirect Connectをおすすめ Q4.Direct Connect高くない? VPNは固定IP利用のためプロバイダ利用料で月額1万円はかかる DirectConnectはフレッツVPN使った物だと4万円から導入可能 4拠点以上ある場合にはDirectConnectが安い 参考サイト https://www.ntt-west.co.jp/news/1601/160119a.html Small Large Enterprise 月額 58.56 USD 175.68USD 325.74USD

×