1. 김용우 솔루션스 아키텍트
2016. 10. 26
AWS 에서 Active Directory
구축 및 연동 옵션 살펴보기

2. Agenda
 Active Directory 란 ?
 AWS Directory Service 구성옵션
• Simple AD
• Microsoft AD (AWS Managed AD)
• AD Connector
 Domain & Forest 고려사항
 IAM Federation

3. Active Directory on AWS
Active Directory 란 ?
 MS 의 Directory 서비스로서 Windows 환경에서 컴퓨터 , 사용자 ,
그룹 , 프린터 및 공유 파일 / 폴더 등의 모든 정보를 관리
사용자 , 컴퓨터 및 그룹에 대한 인증과 권한 부여를 수행하는데 사
용
Windows 기반 IT 자원에 대한 권한 , 정책 접근 제어 등을 정의

4. Directory 서비스 on AWS
왜 AWS 상에서 Directory 서비스를 구성하나요 ?
 사용자 및 어플리케이션의 인증 성능 향상
 Amazon WorkDocs, WorkMail 및 WorkSpaces 사용시 필수
 새로운 워크로드 / 테스팅 환경을 위한 독립된 Directory 구성이
쉬움
 인증을 위해 WAN 구간을 경유하지 않기 위해 구성
AWS 상에서 Directory 서비스 구성이 꼭 필요한가요 ?
 어플리케이션 요구사항이 없다면 불필요
( 예시 : SharePoint, Exchange, Lync, MS SQL*, AWS Work 시리즈 등 )

5. AD on AWS 구성 옵션
“Active
Directory” 를
AWS 상에서 ?
신규 구성
AD on EC2
확장 구성
Simple AD
AD Connector
AWS Directory 서
비스 (Ent)

6. AWS Directory Service 사용의 장점
Single Sign-On
Familiar
Simplifies Deployments
Managed
Service
Cost
Effective
 관리형 서비스로 운영 및 관리부담 적음 ( 환경구성 , 백업 , 가용성 고려 )
 IAM 통합 (Federation 기본제공 )
 Amazon Work 시리즈 통합
 EC2 인스턴스를 손쉽게 Join : Simple System Manager(SSM)

7. AWS Directory Service
Simple AD
 Active Directory 호환 Samba 4 기반의 관리형 디렉토리 서비스
 사용자 계정 , 그룹 멤버십 , Amazon EC2 인스턴스들에 대한
도메인 조인 등의 기능
Microsoft AD
 Windows Server 2012 R2 를 기반으로 운영되는 관리형 AD 서비스
 Trust 및 데이터 복제기능 등의 Active Directory 의 모든 기능지원
 멀티 AZ 구성 및 자동백업 , 복구 등의 기능 제공
AD Connector
 온 프레미스 AD 환경으로의 디렉토리 요청에 대한 프록시 역할
 사용자 들은 기존의 자사 계정을 통해 AWS 자원 및 어플리케이션들을 사용 가능

8. Amazon
WorkDocs
Amazon
WorkMail
Amazon
WorkSpaces
AWS Management
Console
Managed
VPC Subnet
Simple AD
VPC Subnet
Managed
 Samba 4 기반의 단독 AD 호환
디렉토리 서비스
 500(Small) / 5,000(Large)
구성
 어플리케이션 SSO 구성
 GPO 를 통한 EC2 Windows /
Linux 관리
 도메인 포레스트 / 트러스트 미
지원
신규 구성 – Simple AD
EC2
Windows
사용자 인증

9. 신규 구성 – Simple AD

10. 신규 구성 – Simple AD
Simple AD
EC2 Windows
EC2 Linux
LinuxWindows
Console

11. Amazon
WorkDocs
Amazon
WorkMail
Amazon
WorkSpaces
AWS Management
Console
Managed
VPC Subnet
Microsoft AD
VPC Subnet
Managed
신규 구성 – Microsoft AD (Win2012 R2)
EC2
Windows
사용자 인증 Trust
• Trust 를 통해 온 프레미스 AD 자원 활용
• Active Directory 를 요구하는
Application 을 Cloud 상에서 구동시
필요 (Exchange,
Sharepoint, Lync, SQL 등 )
AD
AD

12. AD AD
Trust
PDC Emulator 간의 연결성 보장
(Security Group, VPN 이중화 )
PDC Emulator 간의 연결성 보장
(Security Group, VPN 이중화 )상호 DNS 조회상호 DNS 조회
• 완전히 단절된 운영이 가능하나 동시에 두개의 AD 를 운영하는 것과 같음
• Microsoft AD 및 AD on EC2 활용 가능
도메인 Trust 란 ?

13. 신규 구성 – Microsoft AD

14. 신규 구성 – Microsoft AD
Windows 서버 인스턴스에서
AD Administrative Center 를 비롯한
모든 AD 관련 모든 도구 사용가능
(Admin User)
Console

15. 신규 구성 – Active Directory on EC2
EC2 Windows 서버기반 AD DS 구성
+ 친숙함 : 기존 AD 구성 관리와 동일
+ 기존 AD 와 손쉽게 연동 가능
+ 관리자가 모든 권한 가짐
- EC2/OS 관리의 부담
- 고 가용성 / 백업 등의 관리
- 동기화 및 운영상의 복잡성

16. Active Directory on EC2 - 고려사항
• VPC Peer 또는 다수 리전의 VPC 를 VPN 으로 엮어 구성하는 경우
AD 서비스 레코드를 서비스하는 DNS
에 꼭 접근이 가능하여야 한다 .
AD 서비스 레코드를 서비스하는 DNS
에 꼭 접근이 가능하여야 한다 .
VPC 의 서브넷을 AD 의 Site 에 등록하
여 로그인 트레픽을 격리한다 .
VPC 의 서브넷을 AD 의 Site 에 등록하
여 로그인 트레픽을 격리한다 .
데이터 복제 Path 를 수동으로 만들지 않는다 .데이터 복제 Path 를 수동으로 만들지 않는다 .
 고 가용성을 위해 적어도 두 곳 이상의 가용 존 (AZ) 에 구성
 도메인 컨트롤러는 Private Subnet 에 구성
 Security group 에서 서비스에 필요한 최소한의 Port 만을 오픈
 안전한 관리를 위해 RD GW 구성

17. Amazon
WorkDocs
Amazon
WorkMail
Amazon
WorkSpaces
AWS Management
Console
Managed
VPC Subnet
AD
Connector
VPC Subnet
Managed
도메인 확장 – AD Connector
EC2
Windows
사용자 인증
• 포레스트 트러스트를 통해 온프레미스
AD 활용
• 신규 AD 구성 없이 AD 를 필요로 하는 어
리케이션 구성
DX, VPN

18. 도메인 확장 – AD Connector

19. AD Connector – 고려사항
 순수한 Proxy 역할 – 캐싱되는 정보 없음
 온 프레미스 네트워크로 VPN 또는 Direct Connect
연결
 온 프레미스 네트워크의 ( 구간 ) 가용성에 영향을 받
음

20. 어떤 Directory 서비스를 사용해야할까 ?

21. EC2 인스턴스를 AD 에 Join

22. Windows 인스턴스의 AD Join 방법
EC2 Run Command
( 기존 인스턴스 )
Instance 론칭시
( 신규 인스턴스 )
Auto-Scaling
( 신규 / User Data)
<powershell>
Set-DefaultAWSRegion -Region
<region>
Set-Variable -name instance_id
-value (Invoke-Restmethod -uri
http://169.254.169.254/latest/meta-
data/instance-id)
New-SSMAssociation -InstanceId
$instance_id -Name
“<ssmDocumentName>"
</powershell>
재부팅 이후에는 ?
RunOnce / DSC
AWS CLI/Powershell

23. Linux 인스턴스의 AD Join 방법
#Step 1 - Log in to the instance
ssh -i "tuesday-demo.pem" ec2-user@xxx.xxx.xxx.xxx
#Step 2 - Make any updates, install SSSD
sudo yum -y update
sudo yum -y install sssd realmd krb5-workstation
#Step 3 - Join the instance to the directory
sudo realm join -U administrator@tuesday.mydirectory.com tuesday.mydirectory.com --verbose
#Step 4 - Edit the config file
sudo vi /etc/ssh/sshd_config
PasswordAuthentication yes
#Start SSSD
sudo service sssd start
#Step 5 - Restart the instance - from the AWS Console. Log back in.
#Step 6 - Add the domain administrators group from the example.com domain.
sudo visudo -f /etc/sudoers
%Domain Admins@tuesday.mydirectory.com ALL=(ALL:ALL) ALL
#Step 7 - approve a login
sudo realm permit administrator@tuesday.mydirectory.com
sudo realm permit casey@tuesday.mydirectory.com
#Step 8 - login using a linux user
ssh casey@tuesday.mydirectory.com@xxx.xxx.xxx.xxx

24. AD Domain & Forest 고려사항

25. Active Directory 101 – 용어 정리
Tree
하나의 동일한 Namespace 에 여러 개의 도메인을 가지고 있을 때 ( 예 -abc.com, a.abc.com,
b.abc.com, c.abc.com) 이를 같은 Tree 에 있다고 할 수 있음
Forest
Forest 는 하나 이상의 Tree 를 가지는 , 하나 이상의 도메인들의 집합이며 , 해당 Forest 내에서
는 스키마 (Schema) 를 공유하는데 , 스키마는 AD 에서 어떤 객체 (Object) 가 어떻게 저장되는지
를 정의함 .
Trust
Parent 와 Child 도메인들은 자동으로 Trust 를 맺음 . 다른 도메인에 있는 사용자들은 Trust
관계를 이용해서 다른 도메인의 자원에 접근할 수 있으며 , Forest 에서 Tree 들은 자동적으로
Trust 관계를 맺는데 , 이를 통해 Domain Forest 가 구성되면 Forest 내에 있는 어떤 리소스 든
접근가능
Global Catalog
사용자들이 Forest 내에 있는 도메인 들에서 특정 자원을 찾고자 할 때 참고할 수 있는 자원으로

26. Active Directory 의 Tree 와 Forest 구조
Domain Forest
Domain Tree
Trust Relationship
Organization Unit
Domain
abc.com
def.com
sales.abc.com hr.abc.com account.def.com sample.def.com

27. AWS 상에 기존 온 프레미스 AD 와 독립된 별도의 Active Directory 를 구성하는 방법
장점 :
기존 AD 환경으로 부터 완전한 분리
단점 :
사용자별 개개의 신원 / 계정 추가 관리
기존 온 프레미스 자원에 접근에 대한 제약
Domain/Forest 모델 – Standalone AD in AWS

28. One-Way Forest TrustOne-Way Forest Trust
AWS 에 신규 Forest/Domain 구성 후 , 온 프레미스 Forest 와 One-way trust 구성
장점 :
•온 프레미스 Forest 를 AWS 의 Forest 와 분리
•사용자당 하나의 신원 / 계정
•AWS 자원에 대한 AD 레벨의 가시성 확보
단점 :
•관리 상의 부담
•Microsoft Remote Desktop Gateway 사용자 인증은 양 방향 (Two way) Trust 를 필요로 함
•Linux 인증은 양방향 (Two way) trust 를 필요로 함
•특정 어플리케이션은 외부 도메인 사용자 로그인을 지원하지 않을 수도 있음
Domain/Forest 모델 – Standalone Trusted AD Forest

29. 온 프레미스 AD Forest 내부에 다른 이름의 도메인 (Sub domain) 생성 후
One way trust 를 맺는 방법
장점 :
•사용자당 하나의 신원 / 계정 관리
•AWS 자원에 대한 AD 레벨의 가시성 확보
•상대적으로 관리가 수월함
단점 :
•온 프레미스 도메인과 완전히 분리되지 않음
•Linux 인증의 경우 양방향 도메인 Trust 를 필요로 함
•특정 어플리케이션은 외부 도메인 사용자 로그인을 지원하지 않을 수도 있음
One Way Domain TrustOne Way Domain Trust
Domain/Forest 모델 – 기존 온 프레미스 AD 의 Sub 도메인

30. 장점 :
•사용자당 하나의 신원 / 계정 관리
•관리가 수월함
•기존 온 프레미스 AD 의 모든 구성사항을 클라우드에서 동일하게 사용
•향후 AWS Cloud 로 Directory 마이그레이션이 용이함 – AWS 의 Backup DC 를 Primary 로 프로모
션
단점 :
•온 프레미스 AD 의 모든 정보를 특정 보안 , 정책상의 문제로 Cloud 로 복제하기 어려울 경우 사
용이 어려움
Domain/Forest 모델 – 기존 AD Forest 의 동일 도메인 구성
기존 온 프레미스 AD Forest 내부 도메인과 같은 도메인내에
Domain Controller 구성

31. IAM 연동 (Federation)

32. 3 – AWS
Management
Console 에서
AssumeRole
1) IAM Role 을 AD 사용자에게 할당
IAM 연동기능 (Simple AD/MS AD/ AD Connector 공통 )
2) AD 이용자는 Access URL 을 경유
하여 콘솔 로그인
2 – LDAP 과
Kerberos 요청을
VPN 을 통해 전달
AD
1 – AD 인증 정보로
로그인
AD
User1
User2
Group1
ReadOnly
Admin
S3-Access
mycompany.awsapps.com/console

33. IAM 연동기능 ( 온 프레미스 AD, AD on EC2)
Active Directory Federation Service(ADFS)
온 프레미스 /EC2 기반 AD 의 사용자에
IAM 의 Role 할당
온 프레미스 사용자 계정 / 권한을 클라우드
환경으로 동일하게 확장
Single Sign On 지원

34. ADFS 을 통한 Console Federation 절차
AWS (Service Provider)
AWS Sign-in
Browser
interface
Active
Directory
ADFS 2.0
1사용자가 인증 (ADFS)
URL 로 접속
2
사용자
인증
브라우저가
ADFS 로부터
인증 응답 수신
5
브라우저에서 Sign-in
URL 수신후 콘솔로
Redirect
3
브라우저에서 AWS Sign in
엔드포인트로 SAML 정보송
신
(AssumeRoleWithSAML)
4
参考情報： Enabling Federation to AWS using Windows Active Directory, ADFS, and SAML 2.0
http://blogs.aws.amazon.com/security/post/Tx71TWXXJ3UI14/Enabling-Federation-to-AWS-using-Windows-Active-Directory-ADFS-and-SAML-2-0
Enterprise (Identity Provider)

35. ADFS 실행 모습

36. Step by Step ADFS / IAM 설정 – Qwiklab

37. 감사합니다 .