Active Directoryの信頼関係を知る

記事タイトルとURLをコピーする

技術四課の鎌田(裕)です。

WorkSpacesは、従来はDirectory ServiceのMiCrosoft Active Directory(以下MSAD)、Simple AD、AD Connectorのいずれかの指定されたドメインでしか展開できない仕様でしたが、MSADを使って信頼関係を確立することで、信頼関係にあるドメインのユーザーにもWorkSpacesが展開できるようになりました。
AWSのセキュリティブログでも、その内容が公開されています。

と書いても、あまりピンと来ないかも知れませんね。
3回にわたって、信頼関係の説明、信頼関係の確立と、実際のWorkSpacesの展開までを見てみましょう。
今回は、信頼関係について、解説したいと思います。
目次はこちら。

  1. 信頼関係とは?
  2. 信頼関係を作るのに必要なこと
  3. 信頼関係のメリットとデメリット
  4. まとめ

信頼関係とは?

WorkSpacesの展開の前に、Active Directoryの信頼関係についておさらいしましょう。
MicroSoftの説明では、「信頼とは、ドメイン間に確立する関係のことで、これにより、あるドメインのユーザーを他のドメインのドメインコントローラーに認証させることができます。」とあります。
ピンと来ない方が多いと思うので、図解してみましょう。

leaf.comというドメインと、pine.comというドメインがあるとします。
この時に、leaf.comドメインのkamataユーザーが、pine.comドメインのファイルサーバーにアクセスしたい場合、通常であれば、ドメインが異なるので弾かれてしまいます。

ここで信頼関係が登場します。
leaf.comドメインとpine.comドメインで信頼関係を確立していると、「pine.comのドメインはleaf.comと信頼関係があるから、leaf.comのユーザーはOK」と、アクセスが可能になります。
※ただし、ファイルサーバーの場合、フォルダなどへのアクセス権の設定は、別途必要です

これが信頼関係の基礎知識です。

信頼関係を作るのに必要なこと

信頼関係を作るのに必要な情報、準備はそこまで多くありません。以下に挙げておきます。

  • 信頼関係を確立したい相手のドメイン名
  • 信頼関係を確立したいドメインのDNSサーバーのアドレス ※通常はドメインコントローラーのIPアドレス
  • 双方のドメインコントローラーで、必要なポートの通信が行える状態であること
  • 信頼関係を確立したいドメインと、どのような信頼関係を確立するか?(一方向 or 双方向)

DNSサーバーのアドレスは何に使うのか、と思われるかも知れません。DNSサーバーのアドレスは、信頼関係にあるドメインのドメインコントローラーの場所を探す時に、Windowsが使っています。
(SRVレコードを使って、ドメインコントローラーの場所を探しています。)

信頼関係のメリットとデメリット

メリットから確認しましょう。

  • 異なるドメイン間で、ユーザー名などの入力なく、アクセスが出来るようになる
  • サーバー系とクライアント系で管理者が異なり、分離したい場合に有用

デメリットも確認しましょう。

  • 異なるドメインのユーザーやグループのアクセス制御を検討する必要が出る
  • 上記に伴い、アクセス権限管理が煩雑になってしまうこともある

一番のメリットは、異なるドメイン間でも、ユーザー名などの入力なくアクセスできるようにできることでしょう。 一方で、アクセス権限の管理はドメインを跨いでいても常に発生するため、どのドメインのどういったユーザーがアクセスするのかなどの管理は必要です。

おわりに

信頼関係を作ることで、異なるドメインの情報にアクセスするなどといったことが可能となります。 信頼関係というものを、ぜひ知っていただければと思います。

次回は、実際にMSADを使って、信頼関係を確立してみたいと思います。