김용우 솔루션스 아키텍트

2016. 10. 26

AWS 에서 Active Directory 구축 및 연동 옵션 살펴보기

Agenda

Active Directory 란 ? AWS Directory Service 구성옵션

• Simple AD• Microsoft AD (AWS Managed AD)• AD Connector

Domain & Forest 고려사항 IAM Federation

Active Directory on AWS

Active Directory 란 ? MS 의 Directory 서비스로서 Windows 환경에서 컴퓨터 , 사용자 , 그룹 , 프린터 및 공유 파일 /폴더 등의 모든 정보를 관리 사용자 , 컴퓨터 및 그룹에 대한 인증과 권한 부여를 수행하는데 사용Windows 기반 IT 자원에 대한 권한 , 정책 접근 제어 등을 정의

Directory 서비스 on AWS

왜 AWS 상에서 Directory 서비스를 구성하나요 ? 사용자 및 어플리케이션의 인증 성능 향상 Amazon WorkDocs, WorkMail 및 WorkSpaces 사용시 필수 새로운 워크로드 /테스팅 환경을 위한 독립된 Directory 구성이

쉬움 인증을 위해 WAN 구간을 경유하지 않기 위해 구성

AWS 상에서 Directory 서비스 구성이 꼭 필요한가요 ? 어플리케이션 요구사항이 없다면 불필요 ( 예시 : SharePoint, Exchange, Lync, MS SQL*, AWS Work 시리즈 등 )

AD on AWS 구성 옵션

“Active Directory” 를 AWS 상에서 ?

신규 구성

AD on EC2

확장 구성

Simple AD

AD Connector

AWS Directory 서비스 (Ent)

AWS Directory Service 사용의 장점

Single Sign-OnFamiliar

Simplifies Deployments

ManagedService

CostEffective

관리형 서비스로 운영 및 관리부담 적음 ( 환경구성 , 백업 , 가용성 고려 ) IAM 통합 (Federation 기본제공 ) Amazon Work 시리즈 통합 EC2 인스턴스를 손쉽게 Join : Simple System Manager(SSM)

AWS Directory ServiceSimple AD Active Directory 호환 Samba 4 기반의 관리형 디렉토리 서비스 사용자 계정 , 그룹 멤버십 , Amazon EC2 인스턴스들에 대한 도메인 조인 등의 기능

Microsoft AD Windows Server 2012 R2 를 기반으로 운영되는 관리형 AD 서비스 Trust 및 데이터 복제기능 등의 Active Directory 의 모든 기능지원 멀티 AZ 구성 및 자동백업 , 복구 등의 기능 제공

AD Connector 온 프레미스 AD 환경으로의 디렉토리 요청에 대한 프록시 역할 사용자 들은 기존의 자사 계정을 통해 AWS 자원 및 어플리케이션들을 사용 가능

AmazonWorkDocs

AmazonWorkMail

AmazonWorkSpaces

AWS Management Console

Managed

VPC Subnet

Simple AD

VPC Subnet

Managed

Samba 4 기반의 단독 AD 호환 디렉토리 서비스

500(Small) / 5,000(Large) 구성

어플리케이션 SSO 구성

GPO 를 통한 EC2 Windows / Linux 관리

도메인 포레스트 /트러스트 미 지원

신규 구성 – Simple AD

EC2 Windows

사용자 인증

신규 구성 – Simple AD

신규 구성 – Simple AD

Simple AD

EC2 WindowsEC2 Linux

LinuxWindows

Console

AmazonWorkDocs

AmazonWorkMail

AmazonWorkSpaces

AWS Management Console

Managed

VPC Subnet

Microsoft AD

VPC Subnet

Managed

신규 구성 – Microsoft AD (Win2012 R2)

EC2 Windows

사용자 인증 Trust

• Trust 를 통해 온 프레미스 AD 자원 활용• Active Directory 를 요구하는

Application 을 Cloud 상에서 구동시 필요 (Exchange, Sharepoint, Lync, SQL 등 )

AD

AD

AD ADTrust

PDC Emulator 간의 연결성 보장(Security Group, VPN 이중화 )상호 DNS 조회

• 완전히 단절된 운영이 가능하나 동시에 두개의 AD 를 운영하는 것과 같음• Microsoft AD 및 AD on EC2 활용 가능

도메인 Trust 란 ?

신규 구성 – Microsoft AD

신규 구성 – Microsoft AD

Windows 서버 인스턴스에서

AD Administrative Center 를 비롯한

모든 AD 관련 모든 도구 사용가능

(Admin User)

Console

신규 구성 – Active Directory on EC2

EC2 Windows 서버기반 AD DS 구성

+ 친숙함 : 기존 AD 구성 관리와 동일

+ 기존 AD 와 손쉽게 연동 가능

+ 관리자가 모든 권한 가짐

- EC2/OS 관리의 부담

- 고 가용성 /백업 등의 관리

- 동기화 및 운영상의 복잡성

Active Directory on EC2 - 고려사항

• VPC Peer 또는 다수 리전의 VPC 를 VPN 으로 엮어 구성하는 경우

AD 서비스 레코드를 서비스하는 DNS에 꼭 접근이 가능하여야 한다 .

VPC 의 서브넷을 AD 의 Site 에 등록하여 로그인 트레픽을 격리한다 .

데이터 복제 Path 를 수동으로 만들지 않는다 .

고 가용성을 위해 적어도 두 곳 이상의 가용 존 (AZ) 에 구성

도메인 컨트롤러는 Private Subnet 에 구성

Security group 에서 서비스에 필요한 최소한의 Port 만을 오픈

안전한 관리를 위해 RD GW 구성

AmazonWorkDocs

AmazonWorkMail

AmazonWorkSpaces

AWS Management Console

Managed

VPC Subnet

AD Connector

VPC Subnet

Managed

도메인 확장 – AD Connector

EC2 Windows

사용자 인증

• 포레스트 트러스트를 통해 온프레미스 AD 활용

• 신규 AD 구성 없이 AD 를 필요로 하는 어플리케이션 구성

DX, VPN

도메인 확장 – AD Connector

AD Connector – 고려사항

순수한 Proxy 역할 – 캐싱되는 정보 없음

온 프레미스 네트워크로 VPN 또는 Direct Connect 연결

온 프레미스 네트워크의 ( 구간 ) 가용성에 영향을 받음

어떤 Directory 서비스를 사용해야할까 ?

EC2 인스턴스를 AD 에 Join

Windows 인스턴스의 AD Join 방법

EC2 Run Command( 기존 인스턴스 )

Instance 론칭시( 신규 인스턴스 )

Auto-Scaling( 신규 / User Data)

<powershell> Set-DefaultAWSRegion -Region <region> Set-Variable -name instance_id -value (Invoke-Restmethod -uri http://169.254.169.254/latest/meta-data/instance-id) New-SSMAssociation -InstanceId $instance_id -Name “<ssmDocumentName>" </powershell>

재부팅 이후에는 ?RunOnce / DSC

AWS CLI/Powershell

Linux 인스턴스의 AD Join 방법#Step 1 - Log in to the instancessh -i "tuesday-demo.pem" ec2-user@xxx.xxx.xxx.xxx

#Step 2 - Make any updates, install SSSDsudo yum -y updatesudo yum -y install sssd realmd krb5-workstation

#Step 3 - Join the instance to the directorysudo realm join -U administrator@tuesday.mydirectory.com tuesday.mydirectory.com --verbose

#Step 4 - Edit the config filesudo vi /etc/ssh/sshd_configPasswordAuthentication yes

#Start SSSDsudo service sssd start

#Step 5 - Restart the instance - from the AWS Console. Log back in.

#Step 6 - Add the domain administrators group from the example.com domain.sudo visudo -f /etc/sudoers%Domain\ Admins@tuesday.mydirectory.com ALL=(ALL:ALL) ALL

#Step 7 - approve a loginsudo realm permit administrator@tuesday.mydirectory.comsudo realm permit casey@tuesday.mydirectory.com

#Step 8 - login using a linux userssh casey@tuesday.mydirectory.com@xxx.xxx.xxx.xxx

AD Domain & Forest 고려사항

Active Directory 101 – 용어 정리

Tree하나의 동일한 Namespace 에 여러 개의 도메인을 가지고 있을 때 ( 예 -abc.com, a.abc.com, b.abc.com, c.abc.com) 이를 같은 Tree 에 있다고 할 수 있음

ForestForest 는 하나 이상의 Tree 를 가지는 , 하나 이상의 도메인들의 집합이며 , 해당 Forest 내에서는 스키마 (Schema) 를 공유하는데 , 스키마는 AD 에서 어떤 객체 (Object) 가 어떻게 저장되는지를 정의함 .

TrustParent 와 Child 도메인들은 자동으로 Trust 를 맺음 . 다른 도메인에 있는 사용자들은 Trust관계를 이용해서 다른 도메인의 자원에 접근할 수 있으며 , Forest 에서 Tree 들은 자동적으로 Trust관계를 맺는데 , 이를 통해 Domain Forest 가 구성되면 Forest 내에 있는 어떤 리소스 든 접근가능

Global Catalog사용자들이 Forest 내에 있는 도메인 들에서 특정 자원을 찾고자 할 때 참고할 수 있는 자원으로 , Forest 내 지정된 도메인 컨트롤러 들이 해당 역할을 수행

Active Directory 의 Tree 와 Forest 구조

Domain ForestDomain Tree

Trust Relationship

Organization Unit

Domain

abc.comdef.com

sales.abc.com hr.abc.com account.def.com sample.def.com

AWS 상에 기존 온 프레미스 AD 와 독립된 별도의 Active Directory 를 구성하는 방법

장점 : 기존 AD 환경으로 부터 완전한 분리

단점 :사용자별 개개의 신원 /계정 추가 관리

기존 온 프레미스 자원에 접근에 대한 제약

Domain/Forest 모델 – Standalone AD in AWS

One-Way Forest TrustOne-Way Forest Trust

AWS 에 신규 Forest/Domain 구성 후 , 온 프레미스 Forest 와 One-way trust 구성

장점 :•온 프레미스 Forest 를 AWS 의 Forest 와 분리

•사용자당 하나의 신원 /계정

•AWS 자원에 대한 AD 레벨의 가시성 확보

단점 :•관리 상의 부담

•Microsoft Remote Desktop Gateway 사용자 인증은 양 방향 (Two way) Trust 를 필요로 함

•Linux 인증은 양방향 (Two way) trust 를 필요로 함

•특정 어플리케이션은 외부 도메인 사용자 로그인을 지원하지 않을 수도 있음

Domain/Forest 모델 – Standalone Trusted AD Forest

온 프레미스 AD Forest 내부에 다른 이름의 도메인 (Sub domain) 생성 후 One way trust 를 맺는 방법

장점 :•사용자당 하나의 신원 /계정 관리

•AWS 자원에 대한 AD 레벨의 가시성 확보

•상대적으로 관리가 수월함

단점 :•온 프레미스 도메인과 완전히 분리되지 않음

•Linux 인증의 경우 양방향 도메인 Trust 를 필요로 함

•특정 어플리케이션은 외부 도메인 사용자 로그인을 지원하지 않을 수도 있음One Way Domain TrustOne Way Domain Trust

Domain/Forest 모델 – 기존 온 프레미스 AD 의 Sub 도메인

장점 :•사용자당 하나의 신원 /계정 관리 •관리가 수월함•기존 온 프레미스 AD 의 모든 구성사항을 클라우드에서 동일하게 사용•향후 AWS Cloud 로 Directory 마이그레이션이 용이함 – AWS 의 Backup DC 를 Primary 로 프로모션

단점 :•온 프레미스 AD 의 모든 정보를 특정 보안 , 정책상의 문제로 Cloud 로 복제하기 어려울 경우 사용이 어려움

Domain/Forest 모델 – 기존 AD Forest 의 동일 도메인 구성

기존 온 프레미스 AD Forest 내부 도메인과 같은 도메인내에 Domain Controller 구성

IAM 연동 (Federation)

3 – AWS Management Console 에서 AssumeRole

1) IAM Role 을 AD 사용자에게 할당

IAM 연동기능 (Simple AD/MS AD/ AD Connector 공통 )

2) AD 이용자는 Access URL을 경유하여 콘솔 로그인

2 – LDAP 과 Kerberos 요청을 VPN 을 통해 전달

AD

1 – AD 인증 정보로 로그인

AD

User1User2

Group1

ReadOnly

Admin

S3-Access

mycompany.awsapps.com/console

IAM 연동기능 ( 온 프레미스 AD, AD on EC2)

Active Directory Federation Service(ADFS)

온 프레미스 /EC2 기반 AD 의 사용자에 IAM 의 Role 할당

온 프레미스 사용자 계정 /권한을 클라우드 환경으로 동일하게 확장

Single Sign On 지원

ADFS 을 통한 Console Federation 절차AWS (Service Provider)

AWS Sign-in

Browser interface

Active Directory

ADFS 2.0

1사용자가 인증 (ADFS) URL 로 접속

2사용자 인증

브라우저가 ADFS 로부터인증 응답 수신

5브라우저에서 Sign-in

URL 수신후 콘솔로 Redirect

3

브라우저에서 AWS Sign in

엔드포인트로 SAML정보송신

(AssumeRoleWithSAML)

4

参考情報： Enabling Federation to AWS using Windows Active Directory, ADFS, and SAML 2.0http://blogs.aws.amazon.com/security/post/Tx71TWXXJ3UI14/Enabling-Federation-to-AWS-using-Windows-Active-Directory-ADFS-and-SAML-2-0

Enterprise (Identity Provider)

ADFS 실행 모습

Step by Step ADFS / IAM 설정 – Qwiklab

감사합니다 .