技術4課のVDIおじさん、かつ認証認可おじさんの鎌田です。
Active DirectoryとAD ConnectorとWorkSpacesの関係、分かったようで分かりづらいですよね。 この分かりづらい三角関係をちょっと紐解いてみたいと思います。
図示してみる
この分かりづらい関係を、ちょっと図示してみました。
- Active Directoryはユーザーのオブジェクトを持っている場所
- AD Connectorから来た認証情報が自分自身で保持しているか確認して、適切な応答をする
- AD ConnectorはWorkSpaces接続時に認証情報をActive Directoryへスルーパスしてくれる
- 認証の橋渡し役
- WorkSpacesログイン後は、ドメインに関する情報は直接Active Directoryのサーバーに問い合わせている
AD Connectorの役割
Directory ServiceにおけるAD Connectorの役割として、
- Active DirectoryのサーバーとWorkSpacesを同一ネットワークから分離する
- WorkSpacesログイン時の認証情報をActive Direcotryに流す
という2つがあります。
このうち、後者の役割を果たすケースが多いため、AD Connector自身が認証機能さえ持っているのでは、と誤解されるケースが少なくありません。
しかし、AD ConnectorとWorkSpacesは同一IPセグメントへの展開が必須となっています。 このため、Active Directoryへのアクセスが必須となるAD Connectorが存在するセグメントは、WorkSpacesも同一IPセグメントですから、わざわざAD Connectorを介して接続する必要がありません。 WorkSpaces接続後、実際にドメイン関係の情報を確認していくと、WorkSpaces上ではDNSとしてActive Directoryのサーバーになるように設定が実施されています。 またWorkSpacesではVPCのOptionSetが指定されていたとしてもAD Connectorで指定されているDNSのIPアドレスがWorkSpacesにも割り当てられる形になっています。
まとめ
1.AD Connectorは認証情報を保持していない、Active Directoryにお任せ 2.WorkSpacesはAD ConnectorのDNSのIPアドレスがWorkSpacesのDNSの向き先として指定される 3,VPC OptionSetが設定されているVPCでも、WorkSpacesはその影響を受けず、2.の通りでDNSの向き先がされる
WorkSpacesはDirectory Servivceは付随して覚える必要のある箇所が多いサービスではありますが、どのように動いているか設定値などから整理していくと、見えてきます。 サーバー間のAWS上の関係だけではなく、OSの中の設定にも目を向けてみましょう。