AWSでPassLogicサーバを構築する時のネットワーク構成

AWS運用自動化サービス「Cloud Automator」

はじめに

Windowsログオン時の多要素認証を可能にするシステムの一つにPassLogicという製品があります。
PassLogicを使うためには、PassLogicサーバが必要なのですが、このサーバは他のマシンと連携する必要があります。
本記事では、PassLogicサーバを構築する際に考慮する必要のあるネットワーク構成について解説します。 なお、PassLogicサーバはCentOS or RHELで動作します。サーバの構築作業は、購入後にパスロジ社から入手できる公式マニュアルを読めば簡単にできます。

PassLogicサーバに必要なネットワーク構成

考慮すべき点が3点あります。
  1. PassLogicサーバは、Active DirectoryにLDAP接続が必要
  2. PassLogicサーバは、メールサーバにSMTP接続が必要
  3. Windowsは、PassLogicサーバにTCP:7443、TCP:8443で接続が必要

1. PassLogicサーバは、Active DirectoryにLDAP接続が必要

PassLogicサーバは、ADドメインのユーザー名・パスワードなどを利用します。
そのため、PassLogicサーバは、ADサーバにドメイン管理者権限でLDAP(TCP:389)にで接続する必要があります。
オンプレ上のADサーバでも、EC2上のADサーバでも、AWS Microsoft ADでも構いません。
ただし、AD ConnectorsはLDAP接続は対応していません。
もしもAD Connectorsを使っているなら、AD Connectorsの参照先のADサーバにLDAP接続しましょう。

2. PassLogicサーバは、メールサーバにSMTP接続が必要

PassLogicサーバは、ユーザーへ通知メールを送信することがあります。
そのため、メールサーバを必要としています。
VPCからSMTP(TCP:25)の通信は制限がかかるので、サブミッションポート(TCP:587)を使うことをお勧めします。
PassLogicサーバ自体はPrivateSubnetに配置されることが多いと思うので、NAT Gateway、Direct Connect、VPNなどを経由してインターネット接続する必要があります。

3. Windowsは、PassLogicサーバにTCP:7443、TCP:8443で接続が必要

PassLogicをWindowsが使う場合、「PassLogic for Windows Desktop」というソフトのインストールが必要です。
これが入っていると、ログオン時にPassLogicサーバのTCP:7443に認証しにいきます。
また、TCP:8443はPassLogicサーバのWeb管理画面へのアクセスで使用します。

ネットワーク構成図

色々書きましたが、AWS上でPassLogicサーバを構築した際の構成図は、以下のようになります。 WorkSpacesでPassLogicを使う場合は以下のような構成になります。  
AWS運用自動化サービス「Cloud Automator」