Active DirectoryとAD ConnectorとWorkSpacesの関係

AWS運用自動化サービス「Cloud Automator」

技術4課のVDIおじさん、かつ認証認可おじさんの鎌田です。

Active DirectoryとAD ConnectorとWorkSpacesの関係、分かったようで分かりづらいですよね。
この分かりづらい三角関係をちょっと紐解いてみたいと思います。

図示してみる

この分かりづらい関係を、ちょっと図示してみました。

  • Active Directoryはユーザーのオブジェクトを持っている場所
    • AD Connectorから来た認証情報が自分自身で保持しているか確認して、適切な応答をする
  • AD ConnectorはWorkSpaces接続時に認証情報をActive Directoryへスルーパスしてくれる
    • 認証の橋渡し役
  • WorkSpacesログイン後は、ドメインに関する情報は直接Active Directoryのサーバーに問い合わせている

AD Connectorの役割

Directory ServiceにおけるAD Connectorの役割として、

  • Active DirectoryのサーバーとWorkSpacesを同一ネットワークから分離する
  • WorkSpacesログイン時の認証情報をActive Direcotryに流す

という2つがあります。

このうち、後者の役割を果たすケースが多いため、AD Connector自身が認証機能さえ持っているのでは、と誤解されるケースが少なくありません。

しかし、AD ConnectorとWorkSpacesは同一IPセグメントへの展開が必須となっています。
このため、Active Directoryへのアクセスが必須となるAD Connectorが存在するセグメントは、WorkSpacesも同一IPセグメントですから、わざわざAD Connectorを介して接続する必要がありません。
WorkSpaces接続後、実際にドメイン関係の情報を確認していくと、WorkSpaces上ではDNSとしてActive Directoryのサーバーになるように設定が実施されています。
またWorkSpacesではVPCのOptionSetが指定されていたとしてもAD Connectorで指定されているDNSのIPアドレスがWorkSpacesにも割り当てられる形になっています。

まとめ

1.AD Connectorは認証情報を保持していない、Active Directoryにお任せ
2.WorkSpacesはAD ConnectorのDNSのIPアドレスがWorkSpacesのDNSの向き先として指定される
3,VPC OptionSetが設定されているVPCでも、WorkSpacesはその影響を受けず、2.の通りでDNSの向き先がされる

WorkSpacesはDirectory Servivceは付随して覚える必要のある箇所が多いサービスではありますが、どのように動いているか設定値などから整理していくと、見えてきます。
サーバー間のAWS上の関係だけではなく、OSの中の設定にも目を向けてみましょう。

AWS運用自動化サービス「Cloud Automator」