AWSのITコストを削減 Simpline

選ばれ続けること

 

エンジニアブログ

ホーム - エンジニアブログ - 2017年9月

SimpleADユーザーとGoogleアカウントを同期させる

2017.09.15

こんにちは。YCです。

前回の記事でSimpleADにユーザーを作成できました。
今回はそのユーザーをG Suiteに連携したいと思います。
連携の為、使用するツールはGoogleの出しているAD連携ツール
「Google Cloud Directory Sync (以下GCDS)」を使用します。

GCDSの仕組み


1,LDAP サーバーまたは Active Directory のリストからデータが書き出されます。ユーザーが、リストの生成方法を指定するルールを設定します。
2.GCDS は Google ドメインに接続し、ユーザーが指定した Google ユーザー、グループ、共有の連絡先のリストを生成します。
3,GCDS はこのリストを比較し、そのデータに合わせて Google ドメインを更新します。
4,同期が完了すると、ユーザーが指定したアドレスにレポートがメールで送信されます。

Google公式ドキュメントより引用



環境準備


まずはGoogleの管理コンソールにログインし、
セキュリティ → API リファレンス →API アクセスを有効にする にチェックを付けます。
スクリーンショット 2017-09-25 17.07.41
これでとりあえずAPIが通るようになりました。

 

環境構築


Google公式の出しているGCDSのダウンロード手順書を見ながら
GCDSをダウンロードします。

ダウンロードしたら、GCDSを開き以下の手順で作業を進めます。
最初に出てくるのはGoogleとの連携です。
Primary Domain NameにGoogleのドメイン名を入力し、
Authrize Nowをクリックします。
09googledomain1
(検証後にスクリーンショットを撮ったので既にAuthrizedになってますが気にしないでください。)

そうすると、このようなポップアップが出てくるので、
Sign inをクリックし、Googleドメインにサインインしてください。
出てくるものを全て承認すると、Verification Codeが発行されるので、
Step2に貼り付けてください。
10googlesignin

次のLDAP認証が鬼門です。
実際のSimpleADへLDAPで接続します。
設定はこのように致しました。
11ldap1
注意して欲しいのが赤い下線部分です。

まず、ホスト名ですが、AWSのリソースであるSimpleADは自分の指定したドメインの前に
AWSのホスト名が付くので注意しましょう。
コマンドプロンプトから nslookup コマンドで確認して入力します。
cmd

次に、ユーザー名です。
ユーザーには事前に全てのユーザー情報の読み取り権限を委任してあげる必要があります。
鬼門なのでユーザーの権限委任から手順を載せていきます。

①グループを作成
01group

②制御の委任をクリック
02inin

③委任ウィザードの開始で次へをクリック
03ininuxiza-do

④追加をクリック
04tugie

⑤先ほど作ったグループを追加
05google

⑥権限を追加
06subeteno

⑦ユーザーを作成し、
07user

⑧先ほどのグループをユーザーに割り当てる
08groupsyozoku

これでようやくLdapが通るユーザーが作成できました。
このユーザーを使用して、「ドメイン名¥ユーザー名」で設定します。

最後にベースDNがわからない場合はLdapブラウザなどで確認してください。
基本的には上記画像のように「DC=xxxxxx,DC=xx」で良いと思います。

では、次の設定に参りましょう。
次のGeneral Settingsはとりあえず下記画像だけで問題ありません。
12general

Org Unitsはチェックをつけてください。
Googleの組織を使用するというチェックです。
13org

ユーザーアカウントの設定はこれと同じように設定するだけで構いません。
14useraccounts1
15useraccounts2

User ruleは以下のように設定しました。
16userrule
ここでのOrg Unit NameはGoogle側の組織名です。
Googleで先に組織を作っておいてください。
17googletest
今回のルールはメールアドレスの最後に.tkが入っているユーザーを見つけるというルールにしています。

次にNotificationsはこのように設定しています。
18notifications
SMTPホストはGoogleから引っ張っております。
21shosaisettei

そして、ログの吐き出し先を指定し、
22log

Syncで全項目にチェックが付いていることを確認してsimulate syncをクリックします。
23simulate

無事、シミュレーションが出来ると、
Google上のユーザ、AD上の検索で出たユーザそれぞれの数が出てきます。
24simulate1

問題がなければSync & apply changesをクリックし、
Googleにユーザーが追加された事を確認してください。
25userkakunin

これにてGoogleとADの同期は完了です。
散々詰まりましたが、こちらのサイト様のおかげで
なんとか同期の確認は取れました。

次回はGoogle Password Syncでパスワードの同期を試します。
ブログに載せられる機会があれば載せます。
以上です。では。

AWS Directory ServiceのSimpleADのユーザーをWindows7のローカルPCで管理

2017.09.01

初めまして。YCです。

AWSのDirectory ServiceであるSimpleADの管理をする為には
SimpleADのドメインに所属するActive Directoryインスタンスを作成しなくてはなりません。
それをWindows7のローカルPCでやっちゃおうという記事です。

 

SimpleADとは


Simple AD は、AWS Directory Service が提供する Microsoft Active Directory 互換のディレクトリで、Samba 4 を搭載しています。Simple AD は、ユーザーアカウント、グループメンバーシップ、Linux および Microsoft Windows を実行するドメイン結合 Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、Kerberos ベースのシングルサインオン (SSO)、グループポリシーなどの一般的に使用される Active Directory 機能をサポートしています。これにより、Linux および Windows を実行する Amazon EC2 インスタンスの管理と AWS クラウドでの Windows アプリケーションのデプロイがさらに容易になります。

AWS公式ドキュメントより引用


 

構成図


構成図

ざっくりと書きましたが、今回はこんな感じで構成していきます。
VPN接続が必要となるので、VPN接続やルータの設定などを行える事が前提です。
この記事ではVPN接続やルータの設定は割愛します。

 

環境構築




  • Simple AD構築




まずはAWSコンソール上でSimple ADを構築していきます。
コンソールの“セキュリティ、 アイデンティティ、 コンプライアンス”のDirectory Serviceを押し、
ディレクトリのセットアップからSimple ADを選択します。
スクリーンショット 2017-09-14 15.14.36

各項目を入力し、次へボタンを押す
スクリーンショット 2017-09-14 15.16.53

確認画面で確認し、Simple ADの作成を押す
スクリーンショット 2017-09-14 15.17.36

Simple AD作成完了です。
スクリーンショット 2017-09-14 15.18.00

ここのDNSアドレスは後で使うので覚えておいてください。スクリーンショット 2017-09-20 11.48.23

※注意点として、SimpleADを作成すると自動でセキュリティグループが作成されます。
EC2コンソールのセキュリティグループでSimpleADのディレクトリIDを検索すると、
見慣れないセキュリティグループが作成されているのがわかります。
スクリーンショット 2017-09-14 15.57.18

今回は検証のため、全部通しましたが、必要に応じたセキュリティグループの設定が必要です。


 


  • リモートサーバー管理ツール(RSAT)インストール




Windowsサーバを使用せず、ローカルPCでAWSのDirectory Serviceを管理するためには、
ローカルPCにリモートサーバー管理ツールをインストールする必要があります。

インストール方法はこちらを参考にしてください。

      正常にインストールが完了すると、管理ツールにこのような管理項目が増えているはずです。


kanritool

 

 

 


  • Windows7での設定




最後に管理に使用するWindowsPCをドメイン参加させます。
ドメイン参加のやり方はこちらのサイトを参考に致しました。
手順通りに進めていくとドメイン参加させられるはずです。

ドメイン参加後、先ほどの管理ツールの「Active Directory ドメインと信頼関係」を開き、
「操作」→「フォレストの変更」から作成したSimpleADのドメインを入力します。
domain

そうすると、作成したSimpleADと信頼関係が結ばれるはずです。
domain2

信頼関係が結ばれた後、管理ツールから「Active Directory ユーザーとコンピューター」を開きます。
Active

これで、普通のADのようにユーザー管理が出来るようになりました!
インスタンス代金が1台分浮きました。

次回はSimpleADのユーザをGoogleAppsのユーザに同期させる記事を書きたいと思います。
以上、宜しくお願いいたします。