none
Azure AD DS との連携について RRS feed

  • 質問

  • こんにちは

    標題の件なのですが、Azure AD DSをもちいてオンプレミスのLDAPからバインドをかけたいと思っています

    office365で作成したユーザがAzure AD上にできますよね。そのユーザ情報をAzure AD DSに流して、LDAPクライアントからアクセスするという形を取りたいと思っています。

    オンプレミスADとLinuxのLDAPクライアントでの連携は取れて、ADのユーザで認証までできました。

    それと同じことをAzure AD DSを用いて行おうと思っています。公式のドキュメントにはLDAPバインドができるとはありますが、細かい設定事項やどこまで実現できるかについて記述が見つかりません。

    ご教示いただければ幸いです。

    2017年11月27日 8:59

すべての返信

  • Azure AD DSは、構築時に指定する一つの仮想ネットワーク内で接続可能です。実際に発行されるエンドポイントもこの仮想ネットワークのプライベートアドレスになります。

    Azure AD Domain Services のネットワークに関する考慮事項

    そのためLDAPクライアントとなるマシンもこの仮想ネットワークにプライベートネットワークで接続できないといけません。LDAPクライアントがどこにあるのか質問から判別できなかったのですが、Azure上であればVNet peeringで、オンプレミスにあればVPN接続をすることでAAD DSのエンドポイントに接続できるようになるかと思います。

    このネットワーク設定ができれば、あとはオンプレミスADとLinuxのLDAPクライアントでの連携と同様の手順で設定できるかと思います。

    以前、私がRed Hat Enterprise Linux Serverでopenldap-clientsを使ってAAD DSにLDAP接続したブログ記事をリンクしておきます。

    Azure Active Directory Domain Services (AAD DS)を使って、RHEL Serverから openldap-clients で接続してみる

    Azure AD Domain Services を ARM VNetに作成し、peeringさせてVNet上のOpenShiftからLDAP認証させる

    OpenLDAP Clientを使うのであれば別のディストリビューションでも参考になるかと思います。なお、LDAPで接続するときに指定するOUはAzure ADを単体で使っているとデフォルトのAADDC Usersのみ利用可能なはずです。オンプレADとAzure AD Connectなどで同期していればオンプレAD側のOUが使えるはずです。Azure AD Premiumの有無で使える機能に違いがでてくるところが影響するかもしれません。最初のブログに書いてある通り、パスワードの同期のタイミングが検証した限りではつかみけれませんでした。

    2017年11月27日 15:32
  • ご返答ありがとうございます。

    イメージとしてはLinuxで立てた、LDAPサーバとして立てます。そのサーバをLDAPクライアントとしてAzureADに対してバインドをかけるイメージですね。 LDAP <<>> VPNGW<<>>Azure ADDS みたいな認識です。

    >>OpenLDAP Clientを使うのであれば別のディストリビューションでも参考になるかと思います。なお、LDAPで接続するときに指>>定するOUはAzure ADを単体で使っているとデフォルトのAADDC Usersのみ利用可能なはずです。

    現在office365を用いてユーザの作成などを行っています。office365にユーザ登録をすると、AzureADにユーザが登録されますよね。そのユーザとパスワードを認証情報として使いたいと思っています。

    例えばですが、LDAPを用いたLinuxでのユーザ認証にoffice365のユーザを使いたい等です。

    オンプレミス側にユーザ情報などは現在ないです。OUをAADDC Usersにすれば、問題なくできそうですね。

    2017年11月28日 0:33
  • 質問の追加をしてしまい申し訳ございません。

    LDAPクライアント側でnscdを用いる際にフィルタをかける必要がありますよね。

    http://idmlab.eidentity.jp/2017/02/azure-mfa-serverlinux.html これの内容をもとにバインドして認証までいったん考えております。

    テスト用で用いたオンプレミスでは、記述通り「filter passwd (&(objectClass=user)(!(objectClass=computer)))」このフィルタルールを適用すると、問題なくできました。

    このようなフィルタの設定はAzure AD DSのどこに当たるでしょうか

    現在、AzureAD DSを操作できない状態なので、確認ができません。

    大変申し訳ございませんがご返答お待ちしております。

    2017年11月28日 7:39