Azure Filesの概要とAD DSとの連携の仕組み
はじめに
オンプレミス環境のAD(Active Directory)を使用されているユーザーの方で、オンプレミス環境からクラウド環境へ移行したいとお考えの方は多いのではないでしょうか。
現在ADをクラウドサービスとして利用出来るサービスは様々な種類が存在し、そのうちの1つにMicrosoft社が提供する[Azure]があります。
今回はそのAzure内サービスの[Azure Files]を利用してオンプレミス環境にあるADを連携させてクラウド上へもアクセスを可能とする概要について簡単にご紹介していきます。
Azure Filesとは
Azure Filesは[フルマネージドサービスにおけるクラウドファイル共有サービス]です。要するに”サービス提供者”が仮想マシンなどのハードウェアの準備から、サーバー構築の1から10までのすべてを行い、構築後も保守・運用などの作業を行ってくれるファイル共有サービスです。
そのため自身で一からファイルサーバーの構築を開始する場合や、利用している中で容量が不足した場合、機器に問題が生じた場合に増設・修理する必要がありますがAzure Filesにはその必要がないため、非常に低コストで運用を開始することが出来ます。
さらにAzure Filesの特徴として
①:ファイル保存・転送はServer Message Block 3.0(SMB3.0)たHTTPSにて保護され、万一脆弱性が発見された場合には即座に自動アップデートが行われるため、その都度修正プログラムを適用する必要がありません。さらに使用する機種に関わらずWindowsやMacOS、Linuxなどの様々なプラットフォームに対応しているため幅広いファイル共有を可能としています。
②:時間を問わずファイルサーバーは24時間体制で管理が必要不可欠となり、万が一サーバーダウンした場合には技術者が対応しなければなりませんでした。しかしAzure FilesではMicrosoft社が管理を行ってくれているためサーバーの常時稼働を実現しつつ、サーバー管理者の負担を軽減します。
③:Azure Fileに限らずAzureでは[I/O API]のファイルシステムによって運用されています。そのためシステムエンジニアにとっては、Azure Filesを使い始めるにあたって新規に勉強する必要はなく既存の知識とコードを用いて移行することが可能です。
オンプレミスADとAzure Filesを連携する
Azure FilesではActive Directory Domain Services(以下AD DS)とAzure Active Directory Domain Services (以下Azure AD DS)のそれぞれいずれかのサービスを利用することでオンプレミス環境であってもIDベースの認証を可能とします。そのためAzure FilesとAD DSを連携させることで1つのアカウント認証情報でオンプレミス環境のADとクラウド上のADにあるファイルにアクセスが出来るようになります。
Azure FilesのAD DS制御方法
通常の場合、Azure Files上に存在するネットワークドライブへアクセスするために必要なアクセスキーをその都度指定する必要があるのですが、先も述べた[IDベースの認証]が有効になっていた場合、Azure Filesへのアクセスが許可されたユーザーであればアクセスが可能になります。
それらに加えてAzure Filesには大まかに分けて2種類のアクセス制御が可能で、[ロールベースアクセス制御:Role-based access control(RBAC)]と[Windows DACL(Discretionary Access Control List)]になります。
前者のRBACでは「AD上に存在するリソースへアクセスできるユーザーやグループ”の”アクセス権を管理する機能」になり、ユーザーに対しての制御を行います。
対してWindows DACLでは「AD上に存在するファイルやディレクトリに対してアクセス権を付与して管理する機能」になり、ファイルやディレクトリに対しての制御を行います。
Azure FilesとAD DSの連携している構造
Azure FilesとAD DSを連携させるために、両者のID情報を同期させて[Azure AD]にAD DSで使用している同一のアカウントIDを用意する必要があります。これらの作成したIDを[Azure AD Connect:(以下AADC)]を利用してAzure FilesとAD DSを連携させていきます。
同期を行ったIDでAzure Filesへアクセスを行った場合、アクセス要求はAD DSへと転送され確認が行われます。認証が正常に行われるとKerberosトークンとして戻され、Azure Filesは戻ったトークンによってアクセス承認を行い、アクセス元からAzure Filesへアクセスが可能となります。
Azure FilesとAD DSの連携手順の流れ
<事前準備>
・Azure Filesへのドメイン登録
・Azure VMの作成
<構築手順>
AD DS環境の構築→Azure ADとAD DSのID同期→
Azure VMによるドメイン参加→Azure Filesの作成→
Azure Files内設定でAD DS認証の有効化→
Azure RBACがAzure Filesへのアクセスが許可→
Windows DACLによってファイル・ディレクトリ毎にアクセスが許可→
Azure VMからAzure Filesをマウントする→
AADCによる同期を停止する→
Azure リソースを削除する
Azure ADに関する注意
①連携させるにあたり、利用するAzure ADとAzure Filesは同一サブスクリプションで関連付けられている必要があります。1つのサブスクリプションにつき1つのAzure ADしか関連付けが出来ず、Azure Filesで使用しているサブスクリプションと異なるAzure ADとの連携は行えません。
②Azure ADとAD DSを同期する場合、事前にAzure ADにカスタムドメインを登録する必要があります。登録するカスタムドメインにはAzure DSで使用するドメインを指定して登録を行いますが、[ドメイン名レジストラー]へ新しい[TXTレコード]を作成する必要があります。しかしこのTXTコードは反映されるまでに作成してから最大72時間必要としますので前もって作業を行うことを推奨します。
さいごに
いかがでしょうか。ここまでAzure Filesの概要、またAD DSを連携させてオンプレミスADを半クラウド化させる仕組みについて簡単にご紹介させて頂きました。Azure Filesに限らず様々なクラウド上でのファイル共有サービスが存在し、またそれらにも連携することでネットワークを経由して高いセキュリティを維持した状態でのアクセスを実現出来る機能が存在します。Azure Filesを含むAzureには無料で試すことが出来るプランも用意されているため、もしご興味がありましたら一度試してみることも良いかもしれません。拙い記事で申し訳ございませんが、ここまで読んで頂きありがとうございました。
