SlideShare una empresa de Scribd logo

.NETlab_AADDCでLinuxRDP認証.pptx

Descargar como PPTX, PDF
M
Michinari Kobuna

RDP Azure VM Linux with Azure AD Domain Services

Ingeniería
1 de 17
.NETラボ 2022 01月勉強会 小鮒 通成
自己紹介です  都内Sierに勤務し、Windows認証基盤のコンサル・ 設計・構築・トラブルシュートなどをやっています。  Technetフォーラムで、ときどき回答しています。  商業誌に寄稿することもありますが、最近はコミケ です。  MSMVP Enterprise Mobilityを受賞しています(MVP 受賞回数19回+α)。  秋葉原によく現れます。最近RTX 3070でResizable BARを試みましたが、CPUが古くて失敗しました…。
なぜAzure Linux VMでRDP?  絶対必須な環境ではないけれど…  セキュリティ的にはSSH/公開・秘密鍵認証が推奨  WindowsでもがんばればSSH認証できるはず  どうしてもGUIでアクセスしたい  WindowsはGUIなのに、LinuxがCUIなのは「落ち着かな い」  インフォメーションワーカー的作業を行う場合、デスク トップ環境の方が生産性が高い  マニュアル対策上、GUI環境がありがたい  ネットワークセキュリティ環境を統一したい  Windowsが3389/tcpで、Linuxが22/tcpの場合、ポート通信 許可設定が煩雑になる(実は私の自宅環境もそうでした…)
なぜAzure Linux VMでAAD DS?  Windows統合認証のデファクトスタンダード  Active Directory環境のSaaSとして、お手軽に扱える  WindowsはDomain Join、Linuxはrealmd+sssdでの認証が可  Domain Controller VMは管理が大変  安定運用には2台は必要。VMは24h/365dの運用がいるので、 費用が馬鹿にならない(A2_v2 2台で28,526/月)  AAD DSのメリット感  AAD DSはSaaSのため、メンテナンスフリー&費用は安価 (Standardで12,585/月)  ハイブリッド環境でも運用が可能  AAD DS以外の統合認証(yellow pagesはさすがに…)  オンプレミスAD DS認証  Azure AD認証によるLinuxサインイン
Azure AD Domain Servicesとは  AzureのドメインコントローラーのPaaS。Azure AD アカウントと同じアカウント名/パスワードで Kerberos・NTLM・LDAPS認証を行うために利用す る。  Azure ADアカウントと同期して使うユーザーフォレ スト、オンプレActive Directoryと信頼関係を結んで 使うリソースフォレストの2種類が存在する。  Azure AD Connect/Azure AD CPとのハイブリッド連 携も可能。  詳細は2020年09月の.NET lab資料を参照のこと。 NETlab_AADDC使いどころ.pptx - Microsoft PowerPoint Online (live.com)
Azure Linux VMで必要なもの 1. GNOMEデスクトップ環境 1. Ubuntu GNOME(現在GNOMEがUbuntu の標準デスク トップ) 2. GNOME Desktop+X11(CentOS) 2. xrdpリモートデスクトップ環境 1. xrdp(NLA非対応) 2. freerdp(NLA対応) 3. Active Directoryクライアント認証環境 1. sssd 2. realmd 3. krb5 + その他コンポーネント
Azure Linux VMで標準外の構成 1. デスクトップ環境 1. xfce4 2. MATE 2. リモートデスクトップ環境 1. VNC 2. X2Go(Azure DSVMイメージに投入済み) 3. Active Directoryクライアント認証環境 1. winbind(推奨しない)
AAD DS設定 1. 管理可能なドメイン名/SKU-Standardで構成 2. ネットワークは新規に作成するのがお奨め。NSG にAAD DS用の許可設定が必要なため。 3. Azure Linux VMの外部接続(RDP)に備え、NSGに 3389/tcp許可設定を加える。この際、ソースを 「Any」にしないこと。操作元IPアドレスのみに フィルターする。Bastionもお奨め。 4. 作成後、以下の追加作業が必要 1. Azure ADユーザーの追加(AAD DC管理者グループ 含) 2. カスタムDNSアドレスの設定 3. カスタムドメイン名の追加(UPNにドメイン名を指定
Azure Linux VM設定 1. GNOMEデスクトップ環境 2. xrdpリモートデスクトップ環境 ※ =Ubuntu/ =CentOS sudo apt-get install ubuntu-gnome-desktop sudo dnf groupinstall "Server with GUI" sudo apt-get install xrdp sudo nano /etc/X11/Xwrapper.config (allowed_users=anybody) sudo dnf install epel-release sudo yum install xrdp sudo systemctl enable xrdp --now sudo systemctl status xrdp
Azure Linux VM設定(Cont.) 3. azureuserパスワードの設定(共通) 4. Active Directoryクライアント認証ツールと時刻設 定 sudo passwd azureuser sudo nano /etc/hosts sudo dnf install adcli realmd sssd krb5-workstation krb5-libs oddjob oddjob-mkhomedir samba-common-tools sudo nano /etc/hosts sudo apt-get install krb5-user samba sssd sssd-tools libnss-sss libpam-sss ntp ntpdate realmd adcli sudo nano /etc/ntp.conf sudo systemctl stop ntp sudo ntpdate comike99.adfstan.com sudo systemctl start ntp
Azure Linux VM設定(Cont.) 5. Active Directoryクライアントドメイン参加 sudo realm discover COMIKE99.ADFSTAN.COM sudo nano /etc/krb5.conf (rdns=false) kinit -V dsadmin@COMIKE99.ADFSTAN.COM sudo realm join --verbose COMIKE99.ADFSTAN.COM -U 'dsadmin@COMIKE99.ADFSTAN.COM' --install=/ sudo realm discover COMIKE99.ADFSTAN.COM kinit dsadmin@COMIKE99.ADFSTAN.COM sudo realm join --verbose COMIKE99.ADFSTAN.COM -U 'dsadmin@COMIKE99.ADFSTAN.COM' --membership-software=adcli
Azure Linux VM設定(Cont.) 6. sssd.confの修正 sudo nano /etc/sssd/sssd.conf sudo systemctl restart sssd.service sudo nano /etc/sssd/sssd.conf sudo systemctl restart sssd.service
Azure Linux VM設定(Cont.) 7. ホームディレクトリ自動設定(Ubuntu) 8. AAD DC管理者グループをsudo listに追加 sudo nano /etc/pam.d/common-session sudo visudo sudo visudo
設定後の動作確認 1. RDPリモートログインは、問題なく動作可能。 UbuntuはSPNが不要、CentOSはSPNが必須。 (sssd.conf設定に依存) 2. Terminalでのコマンド結果も問題はない。ただし パスワード変更は、AAD DSの仕様上不可。 3. 他のサーバー(ファイルサーバー等)へのSSOは、 UbuntuはNG、CentOSはOK。 4. GPO設定(User Rights)で「リモートデスクトップ接 続を拒否」に追加したアカウントは、RDPログイ ンが不可になることも確認。
日本語版OS+英語KBD環境の対応 1. xrdpログイン時のキーボード配列は、接続元OSのリー ジョンに依存する。日本語版OSならば日本語キーボー ド、英語版OSならば英語キーボードとして自動認識さ れるが、日本語版OS+英語キーボードの環境だと、正 しいキーアサインが行えない。 2. 上記を修正する簡単な方法は、 [設定]-[言語]設定に英語を追加すること (最上位にする必要はありません)、IMEの 表示で[英語(米国) USキーボード]に指定して、接続を 行う。 3. 詳細については、以下のページが非常に詳しい。 xrdpでクライアントのキーボード種別を認識させる方 法 (tamapoco.com)
まとめ  Azure AD Domain ServicesのSSO機能やGPO機能な ど、WindowsのみならずLinuxに対しても、セキュ リティ設定に関して機能することがわかった。世の 中進んだものである。  LinuxのRDP接続については、xrdpで簡単に実装でき る。インフォメーションワーカーがLinuxを使いたい ケースでは、安心して使えるソリューションになる ように思われる。  WindowsとLinuxの「垣根」はかなり少ない状況に なっており、Minimum OSとしてのLinuxだけでなく、 フルグラフィックスな利用方法についても、引き続 き有用なように、筆者は考えている。
参考情報  Ubuntu VM を Azure AD Domain Services に参加させる | Microsoft Docs  CentOS VM を Azure AD Domain Services に参加させる | Microsoft Docs  Linux で xrdp を使用する - Azure Virtual Machines | Microsoft Docs  Azure Lab Services の Linux 向けグラフィカル リモート デスクトップを有効 にする - Azure Lab Services | Microsoft Docs  Quickstart: Create an Ubuntu Data Science Virtual Machine - Azure Data Science Virtual Machine | Microsoft Docs  Azure: Installing GNOME desktop and xRDP to access an Ubuntu 17.10 Server – TechKB.onl  How to Install Xrdp Server (Remote Desktop) on CentOS 8 | Linuxize  xRDP – Remote Connection to Ubuntu Using Active Directory Authentication (HowTo) – Griffon's IT Library (c-nergy.be)

Recomendados

Understanding Split Brain DNS
Understanding Split Brain DNSUnderstanding Split Brain DNS
Understanding Split Brain DNS
Michinari Kobuna
 
MODX on Windows Azure
MODX on Windows AzureMODX on Windows Azure
MODX on Windows Azure
Kei Mikage
 
ちゃんとWeb会議
ちゃんとWeb会議ちゃんとWeb会議
ちゃんとWeb会議
Masayuki Abe
 
商用VPSのここだけの話
商用VPSのここだけの話商用VPSのここだけの話
商用VPSのここだけの話
joeswebhosting
 
はじめてのクラウドサーバー AWSとGCEを使い比べてみた
はじめてのクラウドサーバー AWSとGCEを使い比べてみたはじめてのクラウドサーバー AWSとGCEを使い比べてみた
はじめてのクラウドサーバー AWSとGCEを使い比べてみた
Eigoro Yamamura
 
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
ShuheiUda
 
Interact2019 ws2019 s2d_IN05
Interact2019 ws2019 s2d_IN05Interact2019 ws2019 s2d_IN05
Interact2019 ws2019 s2d_IN05
Hiroshi Matsumoto
 
20141110 tf azure_iaas
20141110 tf azure_iaas20141110 tf azure_iaas
20141110 tf azure_iaas
Osamu Takazoe
 

Recomendados

Understanding Split Brain DNS
Understanding Split Brain DNSUnderstanding Split Brain DNS
Understanding Split Brain DNS
Michinari Kobuna
 
MODX on Windows Azure
MODX on Windows AzureMODX on Windows Azure
MODX on Windows Azure
Kei Mikage
 
ちゃんとWeb会議
ちゃんとWeb会議ちゃんとWeb会議
ちゃんとWeb会議
Masayuki Abe
 
商用VPSのここだけの話
商用VPSのここだけの話商用VPSのここだけの話
商用VPSのここだけの話
joeswebhosting
 
はじめてのクラウドサーバー AWSとGCEを使い比べてみた
はじめてのクラウドサーバー AWSとGCEを使い比べてみたはじめてのクラウドサーバー AWSとGCEを使い比べてみた
はじめてのクラウドサーバー AWSとGCEを使い比べてみた
Eigoro Yamamura
 
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
ShuheiUda
 
Interact2019 ws2019 s2d_IN05
Interact2019 ws2019 s2d_IN05Interact2019 ws2019 s2d_IN05
Interact2019 ws2019 s2d_IN05
Hiroshi Matsumoto
 
20141110 tf azure_iaas
20141110 tf azure_iaas20141110 tf azure_iaas
20141110 tf azure_iaas
Osamu Takazoe
 
インフラエンジニアなら知っておきたいストレージのはなし@OSC 2012 Nagoya
インフラエンジニアなら知っておきたいストレージのはなし@OSC 2012 Nagoyaインフラエンジニアなら知っておきたいストレージのはなし@OSC 2012 Nagoya
インフラエンジニアなら知っておきたいストレージのはなし@OSC 2012 Nagoya
Satoshi Shimazaki
 
【初心者向け】VPSでWordPress構築ハンズオン
【初心者向け】VPSでWordPress構築ハンズオン【初心者向け】VPSでWordPress構築ハンズオン
【初心者向け】VPSでWordPress構築ハンズオン
GMO HosCon
 
あらためて Azure virtual network
あらためて Azure virtual networkあらためて Azure virtual network
あらためて Azure virtual network
Kuniteru Asami
 
今さら聞けない!Microsoft Azure仮想マシン入門
今さら聞けない!Microsoft Azure仮想マシン入門今さら聞けない!Microsoft Azure仮想マシン入門
今さら聞けない!Microsoft Azure仮想マシン入門
Trainocate Japan, Ltd.
 
Microsoft Azure超超入門_20140412
Microsoft Azure超超入門_20140412Microsoft Azure超超入門_20140412
Microsoft Azure超超入門_20140412
Sayaka Shimada
 
InnoDBのすゝめ(仮)
InnoDBのすゝめ(仮)InnoDBのすゝめ(仮)
InnoDBのすゝめ(仮)
Takanori Sejima
 
S03 企業内システムと Microsoft Azure の VPN 接続
S03 企業内システムと Microsoft Azure の VPN 接続S03 企業内システムと Microsoft Azure の VPN 接続
S03 企業内システムと Microsoft Azure の VPN 接続
Microsoft Azure Japan
 
Dbtechshowcasesapporo mysql-turing-for-cloud-0.9.3
Dbtechshowcasesapporo mysql-turing-for-cloud-0.9.3Dbtechshowcasesapporo mysql-turing-for-cloud-0.9.3
Dbtechshowcasesapporo mysql-turing-for-cloud-0.9.3
infinite_loop
 
17 E-5 震災とHackとクラウドと 亀渕分
17 E-5 震災とHackとクラウドと 亀渕分17 E-5 震災とHackとクラウドと 亀渕分
17 E-5 震災とHackとクラウドと 亀渕分
Keiji Kamebuchi
 
Open il vol4
Open il vol4Open il vol4
Open il vol4
榎本 優樹
 
インフラエンジニアなら知っておきたいストレージのはなし2012/Spring ストレージの基礎おさらい編
インフラエンジニアなら知っておきたいストレージのはなし2012/Spring ストレージの基礎おさらい編インフラエンジニアなら知っておきたいストレージのはなし2012/Spring ストレージの基礎おさらい編
インフラエンジニアなら知っておきたいストレージのはなし2012/Spring ストレージの基礎おさらい編
Satoshi Shimazaki
 
LagopusとAzureとIPsecとDPDK
LagopusとAzureとIPsecとDPDKLagopusとAzureとIPsecとDPDK
LagopusとAzureとIPsecとDPDK
ShuheiUda
 
20150821 Azure 仮想マシンと仮想ネットワーク
20150821 Azure 仮想マシンと仮想ネットワーク20150821 Azure 仮想マシンと仮想ネットワーク
20150821 Azure 仮想マシンと仮想ネットワーク
Kuninobu SaSaki
 
G tech2016 Azureを使った災害復旧の基礎
G tech2016 Azureを使った災害復旧の基礎G tech2016 Azureを使った災害復旧の基礎
G tech2016 Azureを使った災害復旧の基礎
Trainocate Japan, Ltd.
 
Windows Azure 上でのVPN 接続方法
Windows Azure 上でのVPN 接続方法Windows Azure 上でのVPN 接続方法
Windows Azure 上でのVPN 接続方法
Masaki Takeda
 
Azure仮想マシンと仮想ネットワーク
Azure仮想マシンと仮想ネットワークAzure仮想マシンと仮想ネットワーク
Azure仮想マシンと仮想ネットワーク
Kuninobu SaSaki
 
OSC2011 Tokyo/Spring 自宅SAN友の会(前半)
OSC2011 Tokyo/Spring 自宅SAN友の会(前半)OSC2011 Tokyo/Spring 自宅SAN友の会(前半)
OSC2011 Tokyo/Spring 自宅SAN友の会(前半)
Satoshi Shimazaki
 
さいきんのMySQLに関する取り組み(仮)
さいきんのMySQLに関する取り組み(仮)さいきんのMySQLに関する取り組み(仮)
さいきんのMySQLに関する取り組み(仮)
Takanori Sejima
 
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
ShuheiUda
 
Azure DevOps で実現する Unity アプリのハイパフォーマンス CI/CD
Azure DevOps で実現する Unity アプリのハイパフォーマンス CI/CDAzure DevOps で実現する Unity アプリのハイパフォーマンス CI/CD
Azure DevOps で実現する Unity アプリのハイパフォーマンス CI/CD
yaegashi
 
ホスティッドプライベートクラウド勉強会 ~Azure Pack on SoftLayer ~
ホスティッドプライベートクラウド勉強会 ~Azure Pack on SoftLayer ~ホスティッドプライベートクラウド勉強会 ~Azure Pack on SoftLayer ~
ホスティッドプライベートクラウド勉強会 ~Azure Pack on SoftLayer ~
Kimihiko Kitase
 
How to multiple on-premise AD migrate to single AAD
How to multiple on-premise AD migrate to single AADHow to multiple on-premise AD migrate to single AAD
How to multiple on-premise AD migrate to single AAD
Michinari Kobuna
 

Más contenido relacionado

La actualidad más candente

Microsoft Azure超超入門_20140412
Microsoft Azure超超入門_20140412Microsoft Azure超超入門_20140412
Microsoft Azure超超入門_20140412
Sayaka Shimada
 
S03 企業内システムと Microsoft Azure の VPN 接続
S03 企業内システムと Microsoft Azure の VPN 接続S03 企業内システムと Microsoft Azure の VPN 接続
S03 企業内システムと Microsoft Azure の VPN 接続
Microsoft Azure Japan
 
17 E-5 震災とHackとクラウドと 亀渕分
17 E-5 震災とHackとクラウドと 亀渕分17 E-5 震災とHackとクラウドと 亀渕分
17 E-5 震災とHackとクラウドと 亀渕分
Keiji Kamebuchi
 
インフラエンジニアなら知っておきたいストレージのはなし2012/Spring ストレージの基礎おさらい編
インフラエンジニアなら知っておきたいストレージのはなし2012/Spring ストレージの基礎おさらい編インフラエンジニアなら知っておきたいストレージのはなし2012/Spring ストレージの基礎おさらい編
インフラエンジニアなら知っておきたいストレージのはなし2012/Spring ストレージの基礎おさらい編
Satoshi Shimazaki
 
Windows Azure 上でのVPN 接続方法
Windows Azure 上でのVPN 接続方法Windows Azure 上でのVPN 接続方法
Windows Azure 上でのVPN 接続方法
Masaki Takeda
 
Azure仮想マシンと仮想ネットワーク
Azure仮想マシンと仮想ネットワークAzure仮想マシンと仮想ネットワーク
Azure仮想マシンと仮想ネットワーク
Kuninobu SaSaki
 

La actualidad más candente (19)

インフラエンジニアなら知っておきたいストレージのはなし@OSC 2012 Nagoya
インフラエンジニアなら知っておきたいストレージのはなし@OSC 2012 Nagoyaインフラエンジニアなら知っておきたいストレージのはなし@OSC 2012 Nagoya
インフラエンジニアなら知っておきたいストレージのはなし@OSC 2012 Nagoya
 
【初心者向け】VPSでWordPress構築ハンズオン
【初心者向け】VPSでWordPress構築ハンズオン【初心者向け】VPSでWordPress構築ハンズオン
【初心者向け】VPSでWordPress構築ハンズオン
 
あらためて Azure virtual network
あらためて Azure virtual networkあらためて Azure virtual network
あらためて Azure virtual network
 
今さら聞けない!Microsoft Azure仮想マシン入門
今さら聞けない!Microsoft Azure仮想マシン入門今さら聞けない!Microsoft Azure仮想マシン入門
今さら聞けない!Microsoft Azure仮想マシン入門
 
Microsoft Azure超超入門_20140412
Microsoft Azure超超入門_20140412Microsoft Azure超超入門_20140412
Microsoft Azure超超入門_20140412
 
InnoDBのすゝめ(仮)
InnoDBのすゝめ(仮)InnoDBのすゝめ(仮)
InnoDBのすゝめ(仮)
 
S03 企業内システムと Microsoft Azure の VPN 接続
S03 企業内システムと Microsoft Azure の VPN 接続S03 企業内システムと Microsoft Azure の VPN 接続
S03 企業内システムと Microsoft Azure の VPN 接続
 
Dbtechshowcasesapporo mysql-turing-for-cloud-0.9.3
Dbtechshowcasesapporo mysql-turing-for-cloud-0.9.3Dbtechshowcasesapporo mysql-turing-for-cloud-0.9.3
Dbtechshowcasesapporo mysql-turing-for-cloud-0.9.3
 
17 E-5 震災とHackとクラウドと 亀渕分
17 E-5 震災とHackとクラウドと 亀渕分17 E-5 震災とHackとクラウドと 亀渕分
17 E-5 震災とHackとクラウドと 亀渕分
 
Open il vol4
Open il vol4Open il vol4
Open il vol4
 
インフラエンジニアなら知っておきたいストレージのはなし2012/Spring ストレージの基礎おさらい編
インフラエンジニアなら知っておきたいストレージのはなし2012/Spring ストレージの基礎おさらい編インフラエンジニアなら知っておきたいストレージのはなし2012/Spring ストレージの基礎おさらい編
インフラエンジニアなら知っておきたいストレージのはなし2012/Spring ストレージの基礎おさらい編
 
LagopusとAzureとIPsecとDPDK
LagopusとAzureとIPsecとDPDKLagopusとAzureとIPsecとDPDK
LagopusとAzureとIPsecとDPDK
 
20150821 Azure 仮想マシンと仮想ネットワーク
20150821 Azure 仮想マシンと仮想ネットワーク20150821 Azure 仮想マシンと仮想ネットワーク
20150821 Azure 仮想マシンと仮想ネットワーク
 
G tech2016 Azureを使った災害復旧の基礎
G tech2016 Azureを使った災害復旧の基礎G tech2016 Azureを使った災害復旧の基礎
G tech2016 Azureを使った災害復旧の基礎
 
Windows Azure 上でのVPN 接続方法
Windows Azure 上でのVPN 接続方法Windows Azure 上でのVPN 接続方法
Windows Azure 上でのVPN 接続方法
 
Azure仮想マシンと仮想ネットワーク
Azure仮想マシンと仮想ネットワークAzure仮想マシンと仮想ネットワーク
Azure仮想マシンと仮想ネットワーク
 
OSC2011 Tokyo/Spring 自宅SAN友の会(前半)
OSC2011 Tokyo/Spring 自宅SAN友の会(前半)OSC2011 Tokyo/Spring 自宅SAN友の会(前半)
OSC2011 Tokyo/Spring 自宅SAN友の会(前半)
 
さいきんのMySQLに関する取り組み(仮)
さいきんのMySQLに関する取り組み(仮)さいきんのMySQLに関する取り組み(仮)
さいきんのMySQLに関する取り組み(仮)
 
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
サポート エンジニアが語る、Microsoft Azure を支えるインフラの秘密
 

Similar a .NETlab_AADDCでLinuxRDP認証.pptx

クラウド環境向けZabbixカスタマイズ紹介(第5回Zabbix勉強会)
クラウド環境向けZabbixカスタマイズ紹介(第5回Zabbix勉強会)クラウド環境向けZabbixカスタマイズ紹介(第5回Zabbix勉強会)
クラウド環境向けZabbixカスタマイズ紹介(第5回Zabbix勉強会)
Daisuke Ikeda
 
Apache cloudstack4.0インストール
Apache cloudstack4.0インストールApache cloudstack4.0インストール
Apache cloudstack4.0インストール
Yasuhiro Arai
 
Xen desktop5.6machine creation servicesにおけるpersonal vdiskの利用、remotepcの設定
Xen desktop5.6machine creation servicesにおけるpersonal vdiskの利用、remotepcの設定Xen desktop5.6machine creation servicesにおけるpersonal vdiskの利用、remotepcの設定
Xen desktop5.6machine creation servicesにおけるpersonal vdiskの利用、remotepcの設定
Citrix Systems Japan
 
2010 04クラウド技術講座
2010 04クラウド技術講座2010 04クラウド技術講座
2010 04クラウド技術講座
sisawa
 
お待たせしました! 真の VDI on Azure がついに実現します!~ Citrix と Microsoft のタッグがもたらす次世代型クラウド・デス...
お待たせしました! 真の VDI on Azure がついに実現します!~ Citrix と Microsoft のタッグがもたらす次世代型クラウド・デス...お待たせしました! 真の VDI on Azure がついに実現します!~ Citrix と Microsoft のタッグがもたらす次世代型クラウド・デス...
お待たせしました! 真の VDI on Azure がついに実現します!~ Citrix と Microsoft のタッグがもたらす次世代型クラウド・デス...
Takamasa Maejima
 

Similar a .NETlab_AADDCでLinuxRDP認証.pptx (20)

Azure DevOps で実現する Unity アプリのハイパフォーマンス CI/CD
Azure DevOps で実現する Unity アプリのハイパフォーマンス CI/CDAzure DevOps で実現する Unity アプリのハイパフォーマンス CI/CD
Azure DevOps で実現する Unity アプリのハイパフォーマンス CI/CD
 
ホスティッドプライベートクラウド勉強会 ~Azure Pack on SoftLayer ~
ホスティッドプライベートクラウド勉強会 ~Azure Pack on SoftLayer ~ホスティッドプライベートクラウド勉強会 ~Azure Pack on SoftLayer ~
ホスティッドプライベートクラウド勉強会 ~Azure Pack on SoftLayer ~
 
How to multiple on-premise AD migrate to single AAD
How to multiple on-premise AD migrate to single AADHow to multiple on-premise AD migrate to single AAD
How to multiple on-premise AD migrate to single AAD
 
クラウド環境向けZabbixカスタマイズ紹介(第5回Zabbix勉強会)
クラウド環境向けZabbixカスタマイズ紹介(第5回Zabbix勉強会)クラウド環境向けZabbixカスタマイズ紹介(第5回Zabbix勉強会)
クラウド環境向けZabbixカスタマイズ紹介(第5回Zabbix勉強会)
 
OSC 2011 Hokkaido 自宅SAN友の会(後半)
OSC 2011 Hokkaido 自宅SAN友の会(後半)OSC 2011 Hokkaido 自宅SAN友の会(後半)
OSC 2011 Hokkaido 自宅SAN友の会(後半)
 
Cld009 お待たせしました
Cld009 お待たせしましたCld009 お待たせしました
Cld009 お待たせしました
 
Cld009 お待たせしました
Cld009 お待たせしましたCld009 お待たせしました
Cld009 お待たせしました
 
20210515 cae linux_install_vb
20210515 cae linux_install_vb20210515 cae linux_install_vb
20210515 cae linux_install_vb
 
Docker入門-基礎編 いまから始めるDocker管理【2nd Edition】
Docker入門-基礎編 いまから始めるDocker管理【2nd Edition】Docker入門-基礎編 いまから始めるDocker管理【2nd Edition】
Docker入門-基礎編 いまから始めるDocker管理【2nd Edition】
 
Nano Server First Step
Nano Server First StepNano Server First Step
Nano Server First Step
 
Apache cloudstack4.0インストール
Apache cloudstack4.0インストールApache cloudstack4.0インストール
Apache cloudstack4.0インストール
 
DevCloud Installation and Some Hack
DevCloud Installation and Some HackDevCloud Installation and Some Hack
DevCloud Installation and Some Hack
 
Xen desktop5.6machine creation servicesにおけるpersonal vdiskの利用、remotepcの設定
Xen desktop5.6machine creation servicesにおけるpersonal vdiskの利用、remotepcの設定Xen desktop5.6machine creation servicesにおけるpersonal vdiskの利用、remotepcの設定
Xen desktop5.6machine creation servicesにおけるpersonal vdiskの利用、remotepcの設定
 
Apache CloudStack 4.0 インストール(ver0.5)
Apache CloudStack 4.0 インストール(ver0.5)Apache CloudStack 4.0 インストール(ver0.5)
Apache CloudStack 4.0 インストール(ver0.5)
 
2010 04クラウド技術講座
2010 04クラウド技術講座2010 04クラウド技術講座
2010 04クラウド技術講座
 
20140612_Docker上でCloudStackを動かしてみる!!
20140612_Docker上でCloudStackを動かしてみる!!20140612_Docker上でCloudStackを動かしてみる!!
20140612_Docker上でCloudStackを動かしてみる!!
 
オトナのDocker入門
オトナのDocker入門オトナのDocker入門
オトナのDocker入門
 
お待たせしました! 真の VDI on Azure がついに実現します!~ Citrix と Microsoft のタッグがもたらす次世代型クラウド・デス...
お待たせしました! 真の VDI on Azure がついに実現します!~ Citrix と Microsoft のタッグがもたらす次世代型クラウド・デス...お待たせしました! 真の VDI on Azure がついに実現します!~ Citrix と Microsoft のタッグがもたらす次世代型クラウド・デス...
お待たせしました! 真の VDI on Azure がついに実現します!~ Citrix と Microsoft のタッグがもたらす次世代型クラウド・デス...
 
How to use ADMT on Windows Server 2022
How to use ADMT on Windows Server 2022How to use ADMT on Windows Server 2022
How to use ADMT on Windows Server 2022
 
SQL Server エンジニア のための コンテナ入門
SQL Server エンジニア のための コンテナ入門SQL Server エンジニア のための コンテナ入門
SQL Server エンジニア のための コンテナ入門
 

.NETlab_AADDCでLinuxRDP認証.pptx

  • 2. 自己紹介です  都内Sierに勤務し、Windows認証基盤のコンサル・ 設計・構築・トラブルシュートなどをやっています。  Technetフォーラムで、ときどき回答しています。  商業誌に寄稿することもありますが、最近はコミケ です。  MSMVP Enterprise Mobilityを受賞しています(MVP 受賞回数19回+α)。  秋葉原によく現れます。最近RTX 3070でResizable BARを試みましたが、CPUが古くて失敗しました…。
  • 3. なぜAzure Linux VMでRDP?  絶対必須な環境ではないけれど…  セキュリティ的にはSSH/公開・秘密鍵認証が推奨  WindowsでもがんばればSSH認証できるはず  どうしてもGUIでアクセスしたい  WindowsはGUIなのに、LinuxがCUIなのは「落ち着かな い」  インフォメーションワーカー的作業を行う場合、デスク トップ環境の方が生産性が高い  マニュアル対策上、GUI環境がありがたい  ネットワークセキュリティ環境を統一したい  Windowsが3389/tcpで、Linuxが22/tcpの場合、ポート通信 許可設定が煩雑になる(実は私の自宅環境もそうでした…)
  • 4. なぜAzure Linux VMでAAD DS?  Windows統合認証のデファクトスタンダード  Active Directory環境のSaaSとして、お手軽に扱える  WindowsはDomain Join、Linuxはrealmd+sssdでの認証が可  Domain Controller VMは管理が大変  安定運用には2台は必要。VMは24h/365dの運用がいるので、 費用が馬鹿にならない(A2_v2 2台で28,526/月)  AAD DSのメリット感  AAD DSはSaaSのため、メンテナンスフリー&費用は安価 (Standardで12,585/月)  ハイブリッド環境でも運用が可能  AAD DS以外の統合認証(yellow pagesはさすがに…)  オンプレミスAD DS認証  Azure AD認証によるLinuxサインイン
  • 5. Azure AD Domain Servicesとは  AzureのドメインコントローラーのPaaS。Azure AD アカウントと同じアカウント名/パスワードで Kerberos・NTLM・LDAPS認証を行うために利用す る。  Azure ADアカウントと同期して使うユーザーフォレ スト、オンプレActive Directoryと信頼関係を結んで 使うリソースフォレストの2種類が存在する。  Azure AD Connect/Azure AD CPとのハイブリッド連 携も可能。  詳細は2020年09月の.NET lab資料を参照のこと。 NETlab_AADDC使いどころ.pptx - Microsoft PowerPoint Online (live.com)
  • 6. Azure Linux VMで必要なもの 1. GNOMEデスクトップ環境 1. Ubuntu GNOME(現在GNOMEがUbuntu の標準デスク トップ) 2. GNOME Desktop+X11(CentOS) 2. xrdpリモートデスクトップ環境 1. xrdp(NLA非対応) 2. freerdp(NLA対応) 3. Active Directoryクライアント認証環境 1. sssd 2. realmd 3. krb5 + その他コンポーネント
  • 7. Azure Linux VMで標準外の構成 1. デスクトップ環境 1. xfce4 2. MATE 2. リモートデスクトップ環境 1. VNC 2. X2Go(Azure DSVMイメージに投入済み) 3. Active Directoryクライアント認証環境 1. winbind(推奨しない)
  • 8. AAD DS設定 1. 管理可能なドメイン名/SKU-Standardで構成 2. ネットワークは新規に作成するのがお奨め。NSG にAAD DS用の許可設定が必要なため。 3. Azure Linux VMの外部接続(RDP)に備え、NSGに 3389/tcp許可設定を加える。この際、ソースを 「Any」にしないこと。操作元IPアドレスのみに フィルターする。Bastionもお奨め。 4. 作成後、以下の追加作業が必要 1. Azure ADユーザーの追加(AAD DC管理者グループ 含) 2. カスタムDNSアドレスの設定 3. カスタムドメイン名の追加(UPNにドメイン名を指定
  • 9. Azure Linux VM設定 1. GNOMEデスクトップ環境 2. xrdpリモートデスクトップ環境 ※ =Ubuntu/ =CentOS sudo apt-get install ubuntu-gnome-desktop sudo dnf groupinstall "Server with GUI" sudo apt-get install xrdp sudo nano /etc/X11/Xwrapper.config (allowed_users=anybody) sudo dnf install epel-release sudo yum install xrdp sudo systemctl enable xrdp --now sudo systemctl status xrdp
  • 10. Azure Linux VM設定(Cont.) 3. azureuserパスワードの設定(共通) 4. Active Directoryクライアント認証ツールと時刻設 定 sudo passwd azureuser sudo nano /etc/hosts sudo dnf install adcli realmd sssd krb5-workstation krb5-libs oddjob oddjob-mkhomedir samba-common-tools sudo nano /etc/hosts sudo apt-get install krb5-user samba sssd sssd-tools libnss-sss libpam-sss ntp ntpdate realmd adcli sudo nano /etc/ntp.conf sudo systemctl stop ntp sudo ntpdate comike99.adfstan.com sudo systemctl start ntp
  • 11. Azure Linux VM設定(Cont.) 5. Active Directoryクライアントドメイン参加 sudo realm discover COMIKE99.ADFSTAN.COM sudo nano /etc/krb5.conf (rdns=false) kinit -V dsadmin@COMIKE99.ADFSTAN.COM sudo realm join --verbose COMIKE99.ADFSTAN.COM -U 'dsadmin@COMIKE99.ADFSTAN.COM' --install=/ sudo realm discover COMIKE99.ADFSTAN.COM kinit dsadmin@COMIKE99.ADFSTAN.COM sudo realm join --verbose COMIKE99.ADFSTAN.COM -U 'dsadmin@COMIKE99.ADFSTAN.COM' --membership-software=adcli
  • 12. Azure Linux VM設定(Cont.) 6. sssd.confの修正 sudo nano /etc/sssd/sssd.conf sudo systemctl restart sssd.service sudo nano /etc/sssd/sssd.conf sudo systemctl restart sssd.service
  • 13. Azure Linux VM設定(Cont.) 7. ホームディレクトリ自動設定(Ubuntu) 8. AAD DC管理者グループをsudo listに追加 sudo nano /etc/pam.d/common-session sudo visudo sudo visudo
  • 14. 設定後の動作確認 1. RDPリモートログインは、問題なく動作可能。 UbuntuはSPNが不要、CentOSはSPNが必須。 (sssd.conf設定に依存) 2. Terminalでのコマンド結果も問題はない。ただし パスワード変更は、AAD DSの仕様上不可。 3. 他のサーバー(ファイルサーバー等)へのSSOは、 UbuntuはNG、CentOSはOK。 4. GPO設定(User Rights)で「リモートデスクトップ接 続を拒否」に追加したアカウントは、RDPログイ ンが不可になることも確認。
  • 16. まとめ  Azure AD Domain ServicesのSSO機能やGPO機能な ど、WindowsのみならずLinuxに対しても、セキュ リティ設定に関して機能することがわかった。世の 中進んだものである。  LinuxのRDP接続については、xrdpで簡単に実装でき る。インフォメーションワーカーがLinuxを使いたい ケースでは、安心して使えるソリューションになる ように思われる。  WindowsとLinuxの「垣根」はかなり少ない状況に なっており、Minimum OSとしてのLinuxだけでなく、 フルグラフィックスな利用方法についても、引き続 き有用なように、筆者は考えている。
  • 17. 参考情報  Ubuntu VM を Azure AD Domain Services に参加させる | Microsoft Docs  CentOS VM を Azure AD Domain Services に参加させる | Microsoft Docs  Linux で xrdp を使用する - Azure Virtual Machines | Microsoft Docs  Azure Lab Services の Linux 向けグラフィカル リモート デスクトップを有効 にする - Azure Lab Services | Microsoft Docs  Quickstart: Create an Ubuntu Data Science Virtual Machine - Azure Data Science Virtual Machine | Microsoft Docs  Azure: Installing GNOME desktop and xRDP to access an Ubuntu 17.10 Server – TechKB.onl  How to Install Xrdp Server (Remote Desktop) on CentOS 8 | Linuxize  xRDP – Remote Connection to Ubuntu Using Active Directory Authentication (HowTo) – Griffon's IT Library (c-nergy.be)