10월 웨비나 - AWS에서 Active Directory 구축 및 연동 옵션 살펴보기 (김용우 솔루션즈 아키텍트)
Download as PPT, PDF•6 likes•7,082 views
10월 웨비나 - AWS에서 Active Directory 구축 및 연동 옵션 살펴보기 (김용우 솔루션즈 아키텍트)
- 1. 김용우 솔루션스 아키텍트 2016. 10. 26 AWS 에서 Active Directory 구축 및 연동 옵션 살펴보기
- 2. Agenda Active Directory 란 ? AWS Directory Service 구성옵션 • Simple AD • Microsoft AD (AWS Managed AD) • AD Connector Domain & Forest 고려사항 IAM Federation
- 3. Active Directory on AWS Active Directory 란 ? MS 의 Directory 서비스로서 Windows 환경에서 컴퓨터 , 사용자 , 그룹 , 프린터 및 공유 파일 / 폴더 등의 모든 정보를 관리 사용자 , 컴퓨터 및 그룹에 대한 인증과 권한 부여를 수행하는데 사 용 Windows 기반 IT 자원에 대한 권한 , 정책 접근 제어 등을 정의
- 4. Directory 서비스 on AWS 왜 AWS 상에서 Directory 서비스를 구성하나요 ? 사용자 및 어플리케이션의 인증 성능 향상 Amazon WorkDocs, WorkMail 및 WorkSpaces 사용시 필수 새로운 워크로드 / 테스팅 환경을 위한 독립된 Directory 구성이 쉬움 인증을 위해 WAN 구간을 경유하지 않기 위해 구성 AWS 상에서 Directory 서비스 구성이 꼭 필요한가요 ? 어플리케이션 요구사항이 없다면 불필요 ( 예시 : SharePoint, Exchange, Lync, MS SQL*, AWS Work 시리즈 등 )
- 5. AD on AWS 구성 옵션 “Active Directory” 를 AWS 상에서 ? 신규 구성 AD on EC2 확장 구성 Simple AD AD Connector AWS Directory 서 비스 (Ent)
- 6. AWS Directory Service 사용의 장점 Single Sign-On Familiar Simplifies Deployments Managed Service Cost Effective 관리형 서비스로 운영 및 관리부담 적음 ( 환경구성 , 백업 , 가용성 고려 ) IAM 통합 (Federation 기본제공 ) Amazon Work 시리즈 통합 EC2 인스턴스를 손쉽게 Join : Simple System Manager(SSM)
- 7. AWS Directory Service Simple AD Active Directory 호환 Samba 4 기반의 관리형 디렉토리 서비스 사용자 계정 , 그룹 멤버십 , Amazon EC2 인스턴스들에 대한 도메인 조인 등의 기능 Microsoft AD Windows Server 2012 R2 를 기반으로 운영되는 관리형 AD 서비스 Trust 및 데이터 복제기능 등의 Active Directory 의 모든 기능지원 멀티 AZ 구성 및 자동백업 , 복구 등의 기능 제공 AD Connector 온 프레미스 AD 환경으로의 디렉토리 요청에 대한 프록시 역할 사용자 들은 기존의 자사 계정을 통해 AWS 자원 및 어플리케이션들을 사용 가능
- 8. Amazon WorkDocs Amazon WorkMail Amazon WorkSpaces AWS Management Console Managed VPC Subnet Simple AD VPC Subnet Managed Samba 4 기반의 단독 AD 호환 디렉토리 서비스 500(Small) / 5,000(Large) 구성 어플리케이션 SSO 구성 GPO 를 통한 EC2 Windows / Linux 관리 도메인 포레스트 / 트러스트 미 지원 신규 구성 – Simple AD EC2 Windows 사용자 인증
- 9. 신규 구성 – Simple AD
- 10. 신규 구성 – Simple AD Simple AD EC2 Windows EC2 Linux LinuxWindows Console
- 11. Amazon WorkDocs Amazon WorkMail Amazon WorkSpaces AWS Management Console Managed VPC Subnet Microsoft AD VPC Subnet Managed 신규 구성 – Microsoft AD (Win2012 R2) EC2 Windows 사용자 인증 Trust • Trust 를 통해 온 프레미스 AD 자원 활용 • Active Directory 를 요구하는 Application 을 Cloud 상에서 구동시 필요 (Exchange, Sharepoint, Lync, SQL 등 ) AD AD
- 12. AD AD Trust PDC Emulator 간의 연결성 보장 (Security Group, VPN 이중화 ) PDC Emulator 간의 연결성 보장 (Security Group, VPN 이중화 )상호 DNS 조회상호 DNS 조회 • 완전히 단절된 운영이 가능하나 동시에 두개의 AD 를 운영하는 것과 같음 • Microsoft AD 및 AD on EC2 활용 가능 도메인 Trust 란 ?
- 13. 신규 구성 – Microsoft AD
- 14. 신규 구성 – Microsoft AD Windows 서버 인스턴스에서 AD Administrative Center 를 비롯한 모든 AD 관련 모든 도구 사용가능 (Admin User) Console
- 15. 신규 구성 – Active Directory on EC2 EC2 Windows 서버기반 AD DS 구성 + 친숙함 : 기존 AD 구성 관리와 동일 + 기존 AD 와 손쉽게 연동 가능 + 관리자가 모든 권한 가짐 - EC2/OS 관리의 부담 - 고 가용성 / 백업 등의 관리 - 동기화 및 운영상의 복잡성
- 16. Active Directory on EC2 - 고려사항 • VPC Peer 또는 다수 리전의 VPC 를 VPN 으로 엮어 구성하는 경우 AD 서비스 레코드를 서비스하는 DNS 에 꼭 접근이 가능하여야 한다 . AD 서비스 레코드를 서비스하는 DNS 에 꼭 접근이 가능하여야 한다 . VPC 의 서브넷을 AD 의 Site 에 등록하 여 로그인 트레픽을 격리한다 . VPC 의 서브넷을 AD 의 Site 에 등록하 여 로그인 트레픽을 격리한다 . 데이터 복제 Path 를 수동으로 만들지 않는다 .데이터 복제 Path 를 수동으로 만들지 않는다 . 고 가용성을 위해 적어도 두 곳 이상의 가용 존 (AZ) 에 구성 도메인 컨트롤러는 Private Subnet 에 구성 Security group 에서 서비스에 필요한 최소한의 Port 만을 오픈 안전한 관리를 위해 RD GW 구성
- 17. Amazon WorkDocs Amazon WorkMail Amazon WorkSpaces AWS Management Console Managed VPC Subnet AD Connector VPC Subnet Managed 도메인 확장 – AD Connector EC2 Windows 사용자 인증 • 포레스트 트러스트를 통해 온프레미스 AD 활용 • 신규 AD 구성 없이 AD 를 필요로 하는 어 리케이션 구성 DX, VPN
- 18. 도메인 확장 – AD Connector
- 19. AD Connector – 고려사항 순수한 Proxy 역할 – 캐싱되는 정보 없음 온 프레미스 네트워크로 VPN 또는 Direct Connect 연결 온 프레미스 네트워크의 ( 구간 ) 가용성에 영향을 받 음
- 20. 어떤 Directory 서비스를 사용해야할까 ?
- 21. EC2 인스턴스를 AD 에 Join
- 22. Windows 인스턴스의 AD Join 방법 EC2 Run Command ( 기존 인스턴스 ) Instance 론칭시 ( 신규 인스턴스 ) Auto-Scaling ( 신규 / User Data) <powershell> Set-DefaultAWSRegion -Region <region> Set-Variable -name instance_id -value (Invoke-Restmethod -uri http://169.254.169.254/latest/meta- data/instance-id) New-SSMAssociation -InstanceId $instance_id -Name “<ssmDocumentName>" </powershell> 재부팅 이후에는 ? RunOnce / DSC AWS CLI/Powershell
- 23. Linux 인스턴스의 AD Join 방법 #Step 1 - Log in to the instance ssh -i "tuesday-demo.pem" [email protected] #Step 2 - Make any updates, install SSSD sudo yum -y update sudo yum -y install sssd realmd krb5-workstation #Step 3 - Join the instance to the directory sudo realm join -U [email protected] tuesday.mydirectory.com --verbose #Step 4 - Edit the config file sudo vi /etc/ssh/sshd_config PasswordAuthentication yes #Start SSSD sudo service sssd start #Step 5 - Restart the instance - from the AWS Console. Log back in. #Step 6 - Add the domain administrators group from the example.com domain. sudo visudo -f /etc/sudoers %Domain [email protected] ALL=(ALL:ALL) ALL #Step 7 - approve a login sudo realm permit [email protected] sudo realm permit [email protected] #Step 8 - login using a linux user ssh [email protected]@xxx.xxx.xxx.xxx
- 24. AD Domain & Forest 고려사항
- 25. Active Directory 101 – 용어 정리 Tree 하나의 동일한 Namespace 에 여러 개의 도메인을 가지고 있을 때 ( 예 -abc.com, a.abc.com, b.abc.com, c.abc.com) 이를 같은 Tree 에 있다고 할 수 있음 Forest Forest 는 하나 이상의 Tree 를 가지는 , 하나 이상의 도메인들의 집합이며 , 해당 Forest 내에서 는 스키마 (Schema) 를 공유하는데 , 스키마는 AD 에서 어떤 객체 (Object) 가 어떻게 저장되는지 를 정의함 . Trust Parent 와 Child 도메인들은 자동으로 Trust 를 맺음 . 다른 도메인에 있는 사용자들은 Trust 관계를 이용해서 다른 도메인의 자원에 접근할 수 있으며 , Forest 에서 Tree 들은 자동적으로 Trust 관계를 맺는데 , 이를 통해 Domain Forest 가 구성되면 Forest 내에 있는 어떤 리소스 든 접근가능 Global Catalog 사용자들이 Forest 내에 있는 도메인 들에서 특정 자원을 찾고자 할 때 참고할 수 있는 자원으로
- 26. Active Directory 의 Tree 와 Forest 구조 Domain Forest Domain Tree Trust Relationship Organization Unit Domain abc.com def.com sales.abc.com hr.abc.com account.def.com sample.def.com
- 27. AWS 상에 기존 온 프레미스 AD 와 독립된 별도의 Active Directory 를 구성하는 방법 장점 : 기존 AD 환경으로 부터 완전한 분리 단점 : 사용자별 개개의 신원 / 계정 추가 관리 기존 온 프레미스 자원에 접근에 대한 제약 Domain/Forest 모델 – Standalone AD in AWS
- 28. One-Way Forest TrustOne-Way Forest Trust AWS 에 신규 Forest/Domain 구성 후 , 온 프레미스 Forest 와 One-way trust 구성 장점 : •온 프레미스 Forest 를 AWS 의 Forest 와 분리 •사용자당 하나의 신원 / 계정 •AWS 자원에 대한 AD 레벨의 가시성 확보 단점 : •관리 상의 부담 •Microsoft Remote Desktop Gateway 사용자 인증은 양 방향 (Two way) Trust 를 필요로 함 •Linux 인증은 양방향 (Two way) trust 를 필요로 함 •특정 어플리케이션은 외부 도메인 사용자 로그인을 지원하지 않을 수도 있음 Domain/Forest 모델 – Standalone Trusted AD Forest
- 29. 온 프레미스 AD Forest 내부에 다른 이름의 도메인 (Sub domain) 생성 후 One way trust 를 맺는 방법 장점 : •사용자당 하나의 신원 / 계정 관리 •AWS 자원에 대한 AD 레벨의 가시성 확보 •상대적으로 관리가 수월함 단점 : •온 프레미스 도메인과 완전히 분리되지 않음 •Linux 인증의 경우 양방향 도메인 Trust 를 필요로 함 •특정 어플리케이션은 외부 도메인 사용자 로그인을 지원하지 않을 수도 있음 One Way Domain TrustOne Way Domain Trust Domain/Forest 모델 – 기존 온 프레미스 AD 의 Sub 도메인
- 30. 장점 : •사용자당 하나의 신원 / 계정 관리 •관리가 수월함 •기존 온 프레미스 AD 의 모든 구성사항을 클라우드에서 동일하게 사용 •향후 AWS Cloud 로 Directory 마이그레이션이 용이함 – AWS 의 Backup DC 를 Primary 로 프로모 션 단점 : •온 프레미스 AD 의 모든 정보를 특정 보안 , 정책상의 문제로 Cloud 로 복제하기 어려울 경우 사 용이 어려움 Domain/Forest 모델 – 기존 AD Forest 의 동일 도메인 구성 기존 온 프레미스 AD Forest 내부 도메인과 같은 도메인내에 Domain Controller 구성
- 32. 3 – AWS Management Console 에서 AssumeRole 1) IAM Role 을 AD 사용자에게 할당 IAM 연동기능 (Simple AD/MS AD/ AD Connector 공통 ) 2) AD 이용자는 Access URL 을 경유 하여 콘솔 로그인 2 – LDAP 과 Kerberos 요청을 VPN 을 통해 전달 AD 1 – AD 인증 정보로 로그인 AD User1 User2 Group1 ReadOnly Admin S3-Access mycompany.awsapps.com/console
- 33. IAM 연동기능 ( 온 프레미스 AD, AD on EC2) Active Directory Federation Service(ADFS) 온 프레미스 /EC2 기반 AD 의 사용자에 IAM 의 Role 할당 온 프레미스 사용자 계정 / 권한을 클라우드 환경으로 동일하게 확장 Single Sign On 지원
- 34. ADFS 을 통한 Console Federation 절차 AWS (Service Provider) AWS Sign-in Browser interface Active Directory ADFS 2.0 1사용자가 인증 (ADFS) URL 로 접속 2 사용자 인증 브라우저가 ADFS 로부터 인증 응답 수신 5 브라우저에서 Sign-in URL 수신후 콘솔로 Redirect 3 브라우저에서 AWS Sign in 엔드포인트로 SAML 정보송 신 (AssumeRoleWithSAML) 4 参考情報: Enabling Federation to AWS using Windows Active Directory, ADFS, and SAML 2.0 http://blogs.aws.amazon.com/security/post/Tx71TWXXJ3UI14/Enabling-Federation-to-AWS-using-Windows-Active-Directory-ADFS-and-SAML-2-0 Enterprise (Identity Provider)
- 35. ADFS 실행 모습
- 36. Step by Step ADFS / IAM 설정 – Qwiklab
- 37. 감사합니다 .
Editor's Notes
- #6: 2가지 옵션 AD on EC2가 필요한 경우를 보겠다. 더불어 Trust가 확장이 아닌가 궁금해 하시는데 이에 대해 말씀드리겠다.
- #7: Simple: Domain-join Linux and Microsoft Windows instances Define and apply Group Policy Objects Migrate directory-aware Windows applications such as Exchange, SharePoint, or custom .NET Cost: Trade capital expense for variable expense Benefit from massive economies of scale Pay only for what you use No long-term commitments Managed: 99.95% SLA Multi-Availability Zone replication Automated snapshots and backup Software updates and patching included Familiar : Microsoft Active Directory Works with directory-dependent applications No learning curve Use your existing management tools Singlesing on : Use existing, corporate credentials Map IAM roles to directory users and groups SSO for AWS Work applications, the AWS Management Console, domain joined EC2 instances, RDS SQL Server, and directory dependent Microsoft applications
- #8: Active Directory 호환 Samba 4 기반의 관리형 디렉토리 서비스 사용자 계정, 그룹 멤버십, Amazon EC2인스턴스들에 대한 도메인 조인 등의 기능 The AWS Directory service solves these two use cases. Let me take a second to tell you what this is NOT. This service makes it easier for customers to bridge between an on-premises environment and AWS and provides a single sign-on experience using existing Microsoft Active Directory identities to access AWS applications and services. AWS Directory Service is a fully managed enterprise directory service that lets customers seamlessly connect their corporate identities to the AWS Cloud. Amazon Galaxy provides a single sign-on experience using existing Microsoft Active Directory identities to access AWS applications and services. It also enables customers to easily deploy Active Directory-dependent applications on AWS by simplifying log-on, password, and group policy management for AWS applications and services. With Amazon Galaxy, enterprises are relieved of the pain of maintaining separate sets of corporate identities and no longer have to manage the setup, patching, and maintenance of directories. Provide single sign-on (SSO) across all your AWS applications like Amazon Workspaces, Amazon WorkDocs, Amazon WorkMail, and the AWS Management Console, as well as RDS SQL Server, and domain joined EC2 Linux and Windows instances The AWS Directory service solves these two use cases. Let me take a second to tell you what this is NOT. This service makes it easier for customers to bridge between an on-premises environment and AWS and provides a single sign-on experience using existing Microsoft Active Directory identities to access AWS applications and services. AWS Directory Service is a fully managed enterprise directory service that lets customers seamlessly connect their corporate identities to the AWS Cloud. Amazon Galaxy provides a single sign-on experience using existing Microsoft Active Directory identities to access AWS applications and services. It also enables customers to easily deploy Active Directory-dependent applications on AWS by simplifying log-on, password, and group policy management for AWS applications and services. With Amazon Galaxy, enterprises are relieved of the pain of maintaining separate sets of corporate identities and no longer have to manage the setup, patching, and maintenance of directories.
- #19: AD Connector is your best choice when you want to use your existing on-premises directory with AWS services. AD Connector forwards sign-in requests to your Active Directory domain controllers for authentication and provides the ability for applications to query the directory for data. After setup, your users can use their existing corporate credentials to log on to AWS applications, such as Amazon WorkSpaces, Amazon WorkDocs, or Amazon WorkMail. With the proper IAM permissions, they can also access the AWS Management Console and manage AWS resources such as Amazon EC2 instances or Amazon S3 buckets. You can also use AD Connector to enable multi-factor authentication by integrating with your existing RADIUS-based MFA infrastructure to provide an additional layer of security when users access AWS applications.
- #20: AD Connector is your best choice when you want to use your existing on-premises directory with AWS services. AD Connector forwards sign-in requests to your Active Directory domain controllers for authentication and provides the ability for applications to query the directory for data. After setup, your users can use their existing corporate credentials to log on to AWS applications, such as Amazon WorkSpaces, Amazon WorkDocs, or Amazon WorkMail. With the proper IAM permissions, they can also access the AWS Management Console and manage AWS resources such as Amazon EC2 instances or Amazon S3 buckets. You can also use AD Connector to enable multi-factor authentication by integrating with your existing RADIUS-based MFA infrastructure to provide an additional layer of security when users access AWS applications.
- #23: Password가 최소한 공개 되지 않는 부분에 주목
- #31: The first option might represent the least secure option of the three, because if the domain controller in the cloud is compromised, the entire production directory services infrastructure would be affected. The second and third options can be considered incrementally more secure, because there is only a one-way trust, but the overhead of maintaining trusts might not fit organizational requirements. The last option might be considered be the most secure, but there is administrative overhead that you need to take into account, and not all deployment scenarios will support this kind of configuration. You need to consider these issues before deciding on a domain and forest model.