Post on 07-Jan-2017
김용우 솔루션스 아키텍트
2016. 10. 26
AWS 에서 Active Directory 구축 및 연동 옵션 살펴보기
Agenda
Active Directory 란 ? AWS Directory Service 구성옵션
• Simple AD• Microsoft AD (AWS Managed AD)• AD Connector
Domain & Forest 고려사항 IAM Federation
Active Directory on AWS
Active Directory 란 ? MS 의 Directory 서비스로서 Windows 환경에서 컴퓨터 , 사용자 , 그룹 , 프린터 및 공유 파일 /폴더 등의 모든 정보를 관리 사용자 , 컴퓨터 및 그룹에 대한 인증과 권한 부여를 수행하는데 사용Windows 기반 IT 자원에 대한 권한 , 정책 접근 제어 등을 정의
Directory 서비스 on AWS
왜 AWS 상에서 Directory 서비스를 구성하나요 ? 사용자 및 어플리케이션의 인증 성능 향상 Amazon WorkDocs, WorkMail 및 WorkSpaces 사용시 필수 새로운 워크로드 /테스팅 환경을 위한 독립된 Directory 구성이
쉬움 인증을 위해 WAN 구간을 경유하지 않기 위해 구성
AWS 상에서 Directory 서비스 구성이 꼭 필요한가요 ? 어플리케이션 요구사항이 없다면 불필요 ( 예시 : SharePoint, Exchange, Lync, MS SQL*, AWS Work 시리즈 등 )
AD on AWS 구성 옵션
“Active Directory” 를 AWS 상에서 ?
신규 구성
AD on EC2
확장 구성
Simple AD
AD Connector
AWS Directory 서비스 (Ent)
AWS Directory Service 사용의 장점
Single Sign-OnFamiliar
Simplifies Deployments
ManagedService
CostEffective
관리형 서비스로 운영 및 관리부담 적음 ( 환경구성 , 백업 , 가용성 고려 ) IAM 통합 (Federation 기본제공 ) Amazon Work 시리즈 통합 EC2 인스턴스를 손쉽게 Join : Simple System Manager(SSM)
AWS Directory ServiceSimple AD Active Directory 호환 Samba 4 기반의 관리형 디렉토리 서비스 사용자 계정 , 그룹 멤버십 , Amazon EC2 인스턴스들에 대한 도메인 조인 등의 기능
Microsoft AD Windows Server 2012 R2 를 기반으로 운영되는 관리형 AD 서비스 Trust 및 데이터 복제기능 등의 Active Directory 의 모든 기능지원 멀티 AZ 구성 및 자동백업 , 복구 등의 기능 제공
AD Connector 온 프레미스 AD 환경으로의 디렉토리 요청에 대한 프록시 역할 사용자 들은 기존의 자사 계정을 통해 AWS 자원 및 어플리케이션들을 사용 가능
AmazonWorkDocs
AmazonWorkMail
AmazonWorkSpaces
AWS Management Console
Managed
VPC Subnet
Simple AD
VPC Subnet
Managed
Samba 4 기반의 단독 AD 호환 디렉토리 서비스
500(Small) / 5,000(Large) 구성
어플리케이션 SSO 구성
GPO 를 통한 EC2 Windows / Linux 관리
도메인 포레스트 /트러스트 미 지원
신규 구성 – Simple AD
EC2 Windows
사용자 인증
신규 구성 – Simple AD
신규 구성 – Simple AD
Simple AD
EC2 WindowsEC2 Linux
LinuxWindows
Console
AmazonWorkDocs
AmazonWorkMail
AmazonWorkSpaces
AWS Management Console
Managed
VPC Subnet
Microsoft AD
VPC Subnet
Managed
신규 구성 – Microsoft AD (Win2012 R2)
EC2 Windows
사용자 인증 Trust
• Trust 를 통해 온 프레미스 AD 자원 활용• Active Directory 를 요구하는
Application 을 Cloud 상에서 구동시 필요 (Exchange, Sharepoint, Lync, SQL 등 )
AD
AD
AD ADTrust
PDC Emulator 간의 연결성 보장(Security Group, VPN 이중화 )상호 DNS 조회
• 완전히 단절된 운영이 가능하나 동시에 두개의 AD 를 운영하는 것과 같음• Microsoft AD 및 AD on EC2 활용 가능
도메인 Trust 란 ?
신규 구성 – Microsoft AD
신규 구성 – Microsoft AD
Windows 서버 인스턴스에서
AD Administrative Center 를 비롯한
모든 AD 관련 모든 도구 사용가능
(Admin User)
Console
신규 구성 – Active Directory on EC2
EC2 Windows 서버기반 AD DS 구성
+ 친숙함 : 기존 AD 구성 관리와 동일
+ 기존 AD 와 손쉽게 연동 가능
+ 관리자가 모든 권한 가짐
- EC2/OS 관리의 부담
- 고 가용성 /백업 등의 관리
- 동기화 및 운영상의 복잡성
Active Directory on EC2 - 고려사항
• VPC Peer 또는 다수 리전의 VPC 를 VPN 으로 엮어 구성하는 경우
AD 서비스 레코드를 서비스하는 DNS에 꼭 접근이 가능하여야 한다 .
VPC 의 서브넷을 AD 의 Site 에 등록하여 로그인 트레픽을 격리한다 .
데이터 복제 Path 를 수동으로 만들지 않는다 .
고 가용성을 위해 적어도 두 곳 이상의 가용 존 (AZ) 에 구성
도메인 컨트롤러는 Private Subnet 에 구성
Security group 에서 서비스에 필요한 최소한의 Port 만을 오픈
안전한 관리를 위해 RD GW 구성
AmazonWorkDocs
AmazonWorkMail
AmazonWorkSpaces
AWS Management Console
Managed
VPC Subnet
AD Connector
VPC Subnet
Managed
도메인 확장 – AD Connector
EC2 Windows
사용자 인증
• 포레스트 트러스트를 통해 온프레미스 AD 활용
• 신규 AD 구성 없이 AD 를 필요로 하는 어플리케이션 구성
DX, VPN
도메인 확장 – AD Connector
AD Connector – 고려사항
순수한 Proxy 역할 – 캐싱되는 정보 없음
온 프레미스 네트워크로 VPN 또는 Direct Connect 연결
온 프레미스 네트워크의 ( 구간 ) 가용성에 영향을 받음
어떤 Directory 서비스를 사용해야할까 ?
EC2 인스턴스를 AD 에 Join
Windows 인스턴스의 AD Join 방법
EC2 Run Command( 기존 인스턴스 )
Instance 론칭시( 신규 인스턴스 )
Auto-Scaling( 신규 / User Data)
<powershell> Set-DefaultAWSRegion -Region <region> Set-Variable -name instance_id -value (Invoke-Restmethod -uri http://169.254.169.254/latest/meta-data/instance-id) New-SSMAssociation -InstanceId $instance_id -Name “<ssmDocumentName>" </powershell>
재부팅 이후에는 ?RunOnce / DSC
AWS CLI/Powershell
Linux 인스턴스의 AD Join 방법#Step 1 - Log in to the instancessh -i "tuesday-demo.pem" ec2-user@xxx.xxx.xxx.xxx
#Step 2 - Make any updates, install SSSDsudo yum -y updatesudo yum -y install sssd realmd krb5-workstation
#Step 3 - Join the instance to the directorysudo realm join -U administrator@tuesday.mydirectory.com tuesday.mydirectory.com --verbose
#Step 4 - Edit the config filesudo vi /etc/ssh/sshd_configPasswordAuthentication yes
#Start SSSDsudo service sssd start
#Step 5 - Restart the instance - from the AWS Console. Log back in.
#Step 6 - Add the domain administrators group from the example.com domain.sudo visudo -f /etc/sudoers%Domain\ Admins@tuesday.mydirectory.com ALL=(ALL:ALL) ALL
#Step 7 - approve a loginsudo realm permit administrator@tuesday.mydirectory.comsudo realm permit casey@tuesday.mydirectory.com
#Step 8 - login using a linux userssh casey@tuesday.mydirectory.com@xxx.xxx.xxx.xxx
AD Domain & Forest 고려사항
Active Directory 101 – 용어 정리
Tree하나의 동일한 Namespace 에 여러 개의 도메인을 가지고 있을 때 ( 예 -abc.com, a.abc.com, b.abc.com, c.abc.com) 이를 같은 Tree 에 있다고 할 수 있음
ForestForest 는 하나 이상의 Tree 를 가지는 , 하나 이상의 도메인들의 집합이며 , 해당 Forest 내에서는 스키마 (Schema) 를 공유하는데 , 스키마는 AD 에서 어떤 객체 (Object) 가 어떻게 저장되는지를 정의함 .
TrustParent 와 Child 도메인들은 자동으로 Trust 를 맺음 . 다른 도메인에 있는 사용자들은 Trust관계를 이용해서 다른 도메인의 자원에 접근할 수 있으며 , Forest 에서 Tree 들은 자동적으로 Trust관계를 맺는데 , 이를 통해 Domain Forest 가 구성되면 Forest 내에 있는 어떤 리소스 든 접근가능
Global Catalog사용자들이 Forest 내에 있는 도메인 들에서 특정 자원을 찾고자 할 때 참고할 수 있는 자원으로 , Forest 내 지정된 도메인 컨트롤러 들이 해당 역할을 수행
Active Directory 의 Tree 와 Forest 구조
Domain ForestDomain Tree
Trust Relationship
Organization Unit
Domain
abc.comdef.com
sales.abc.com hr.abc.com account.def.com sample.def.com
AWS 상에 기존 온 프레미스 AD 와 독립된 별도의 Active Directory 를 구성하는 방법
장점 : 기존 AD 환경으로 부터 완전한 분리
단점 :사용자별 개개의 신원 /계정 추가 관리
기존 온 프레미스 자원에 접근에 대한 제약
Domain/Forest 모델 – Standalone AD in AWS
One-Way Forest TrustOne-Way Forest Trust
AWS 에 신규 Forest/Domain 구성 후 , 온 프레미스 Forest 와 One-way trust 구성
장점 :•온 프레미스 Forest 를 AWS 의 Forest 와 분리
•사용자당 하나의 신원 /계정
•AWS 자원에 대한 AD 레벨의 가시성 확보
단점 :•관리 상의 부담
•Microsoft Remote Desktop Gateway 사용자 인증은 양 방향 (Two way) Trust 를 필요로 함
•Linux 인증은 양방향 (Two way) trust 를 필요로 함
•특정 어플리케이션은 외부 도메인 사용자 로그인을 지원하지 않을 수도 있음
Domain/Forest 모델 – Standalone Trusted AD Forest
온 프레미스 AD Forest 내부에 다른 이름의 도메인 (Sub domain) 생성 후 One way trust 를 맺는 방법
장점 :•사용자당 하나의 신원 /계정 관리
•AWS 자원에 대한 AD 레벨의 가시성 확보
•상대적으로 관리가 수월함
단점 :•온 프레미스 도메인과 완전히 분리되지 않음
•Linux 인증의 경우 양방향 도메인 Trust 를 필요로 함
•특정 어플리케이션은 외부 도메인 사용자 로그인을 지원하지 않을 수도 있음One Way Domain TrustOne Way Domain Trust
Domain/Forest 모델 – 기존 온 프레미스 AD 의 Sub 도메인
장점 :•사용자당 하나의 신원 /계정 관리 •관리가 수월함•기존 온 프레미스 AD 의 모든 구성사항을 클라우드에서 동일하게 사용•향후 AWS Cloud 로 Directory 마이그레이션이 용이함 – AWS 의 Backup DC 를 Primary 로 프로모션
단점 :•온 프레미스 AD 의 모든 정보를 특정 보안 , 정책상의 문제로 Cloud 로 복제하기 어려울 경우 사용이 어려움
Domain/Forest 모델 – 기존 AD Forest 의 동일 도메인 구성
기존 온 프레미스 AD Forest 내부 도메인과 같은 도메인내에 Domain Controller 구성
IAM 연동 (Federation)
3 – AWS Management Console 에서 AssumeRole
1) IAM Role 을 AD 사용자에게 할당
IAM 연동기능 (Simple AD/MS AD/ AD Connector 공통 )
2) AD 이용자는 Access URL을 경유하여 콘솔 로그인
2 – LDAP 과 Kerberos 요청을 VPN 을 통해 전달
AD
1 – AD 인증 정보로 로그인
AD
User1User2
Group1
ReadOnly
Admin
S3-Access
mycompany.awsapps.com/console
IAM 연동기능 ( 온 프레미스 AD, AD on EC2)
Active Directory Federation Service(ADFS)
온 프레미스 /EC2 기반 AD 의 사용자에 IAM 의 Role 할당
온 프레미스 사용자 계정 /권한을 클라우드 환경으로 동일하게 확장
Single Sign On 지원
ADFS 을 통한 Console Federation 절차AWS (Service Provider)
AWS Sign-in
Browser interface
Active Directory
ADFS 2.0
1사용자가 인증 (ADFS) URL 로 접속
2사용자 인증
브라우저가 ADFS 로부터인증 응답 수신
5브라우저에서 Sign-in
URL 수신후 콘솔로 Redirect
3
브라우저에서 AWS Sign in
엔드포인트로 SAML정보송신
(AssumeRoleWithSAML)
4
参考情報: Enabling Federation to AWS using Windows Active Directory, ADFS, and SAML 2.0http://blogs.aws.amazon.com/security/post/Tx71TWXXJ3UI14/Enabling-Federation-to-AWS-using-Windows-Active-Directory-ADFS-and-SAML-2-0
Enterprise (Identity Provider)
ADFS 실행 모습
Step by Step ADFS / IAM 설정 – Qwiklab
감사합니다 .