AWS AD ConnectorとSamba4のADを接続

-

AD ConnectorとSamba-ADを連携する試み

AWSにはAD Connectorという、ローカルのActiveDirectoryの認証情報を使用するための中継サービスがある。

Linux大好きな私、とある用途でActive DirectoryをSamba4のADで構築しており、このSamba4のADとAWSのAD Connectorを接続してみようとしてみたところ、エラーが発生して繋がらないという事象が発生し、この2〜3ヶ月ほど時々トライアンドエラーをしていたのだが、ついに繋がったのでやったことのログを残しておく。

Samba4のADとAD Connectorをつなぐのがニッチらしいので、誰かの一助となれば幸いである。

前提条件はバッチリでもDNSの接続でエラーになる

Samba-ADはUbuntu18.04で構築したもの。こちらの方法で構築。

 

AWSと自宅環境は、S2S VPNで接続している状態なので、ローカル側との通信は問題なく可能。

AD Connectorの管理ガイドに書いている前提条件はバッチリできてて、DirectoryServicePortTest.exeの実行結果もOKにもかかわらず、AD ConnectorからローカルのADに接続しようとすると、以下のようなエラーが出て接続に失敗してしまう。
======================
Connectivity issues detected: DNS unavailable (TCP port 53) for IP:
======================

ルートテーブル的にも問題ないし、セキュリティグループも問題ないし、何が原因なのだろう…と2〜3ヶ月程悩んでいた。

tcpdumpで見ても、AWS側からの通信は来てて、コネクションもできてるのに…。

Samba4のADとAD Connectorをつなぐのはどうやらニッチっぽいので、世界のみんなに聞いてみても英語の情報もないのでお手上げ状態…。

で、なんとなくAWSのセグメント側から名前解決できてへんのではないかと思って、EC2インスタンスからnslookupをしてみたところ解決の糸口が見えた。

DNSにAWS側から接続できるかの切り分け

AWS側からローカルのDNSサーバに名前解決できるかどうかは、AD Connectorを起動しようとしているセグメントにEC2インスタンスを立てて、nslookupでローカルのDNSサーバを指定して名前解決をしてみると、AWS側から名前解決ができるかの切り分けができる。

下記のようにREFUSEDになると名前解決ができてない。
====================

[ec2-user@ip-<EC2インスタンスのIP> ~]$ nslookup
<ローカルにあるサーバののホスト名> <ローカルのDNSサーバのIP>
Server: <ローカルのDNSサーバのIP>
Address: <ローカルのDNSサーバのIP>#53

** server can't find <ローカルにあるサーバののホスト名>: REFUSED
====================

こちらのブログを見てbindのnamed.confの設定が、デフォルトでは特定のセグメントからの
リクエストしか受け付けないようになっている事がわかったので、AWS側のセグメントを追加してやることに。
Ubuntu18.04 LTSの場合は、/etc/bind/named.conf.optionsにセグメントの設定がある。
とりあえずクローズドな環境なのでVPCのセグメント全体を許可。
acl localnet {
    <ローカルセグメント1>/24;
    <ローカルセグメント2>/24;
    <AWSのVPCセグメント>/16;
    127.0.0.1;
};

上記設定を終えた後でAD Connectorから接続を施行すると…繋がった!
Samba-ADとAD Connectorが接続できた!

余談

ただし、1つ留意点がある。
最近、AWSとのS2S VPN接続を「vyatta+PPPoE」から「RTX810+V6プラス」に変えたので、もしかしたらそっちで上手く行った可能性もある。
本来は両方の環境で再現性があるかどうかを試してみるべきだが、めんどくさいのでそこまではしない。(・∀・)
DNS名が引けないのが問題だったので、おそらく上記の方法で解決出来るだろうと思う。


みんなでAWSの勉強しようぜ!

コメント

コメントを投稿

このブログの人気の投稿

ヤマダ電機の安心会員住所変更をした

-
安心会員住所変更 ヤマダ電機の住所変更の顛末を記す。 結論から言えば実にあっさりと住所変更ができた。 重い腰を上げる 昨年三月末に引っ越しをしたので、当然ながら住所が変わったのだが、郵便局に転送依頼をかけておけば1年間は郵便物を新住所に転送してもらえる。 それに甘えて2~3の会員登録で住所変更をさぼっていたのだが、そろそろ転送の期限も近づいてきたので重い腰を上げてみた。 昨今、ネットのサイトから住所変更できるところが大半なので、ヒッキーの私でも安心して変更できるのだが、ネットでできないところは正直めんどくさい。 電話が怖いのよ電話が(((((( ;゚Д゚)))))ガクガクブルブル …まぁ、社会人○○年目の大人だから必要があったらやるけどさ。 ということで、勇気を出してヤマダ電機の安心会員専用窓口に住所変更の電話を掛けてみた。 まったく簡単だ!!! 簡単に言えば下記のようなホップステップからのホイップである。 住所変更の依頼である旨をご担当者様に申告すると、「とある情報」を聞かれるのでそれに答える。 その情報をキーとして、ご担当者様が会員情報を検索し、ヒットした情報が電話を掛けている人間のものであるか確かめるためにいくつか質問をされる。 回答した内容が正解であれば、住所変更の手続きに入る。 一応、「とある情報」というのは伏せておくが、引っ越しによって変わる可能性のある情報なので、個人情報にあたるもので引っ越し前後で変わったものがあれば、電話する前に書き出しておくことをお勧めする。 また、旧住所の情報も必要なので、番地、マンション名なども回答できるようにしておこう。 俺はしどろもどろになりながら答えた!だが、ご担当者は優しく対応してくれた! 上記のプロセスを経て、晴れて住所変更が完了する。 ただ、つい最近変更したところなので、本当に住所変更できたか、郵便物がちゃんと届くのかといったところはわかり次第、追記したい。 追記:ちゃんと新住所に届きました!
続きを読む

JP1の定義をドキュメント化するjp1ajs2.jobdocが超便利

-
素晴らしいツール こちらの作者さん が作成されているJP1の定義からドキュメントのhtmlを生成するツールが超便利な件。 jp1ajs2.jobdoc https://github.com/mizukyf/jp1ajs2.jobdoc/ 必要とした経緯 JP1の標準で作成した定義を Excelに落とせるツール はあるのだが、なぜかJP1 Viewが入っている端末にExcelが入っていなかった。 (ちなみに、JP1用語だと定義を抜き出すのが「インポート」、定義を登録するのが「エクスポート」らしく大変ややこしい。) 見ようと思えば 定義ファイルの中身の記述が公開されている ので人力でも解析可能ではあるが、そんなのクソ面倒なので、誰か偉い人が作ってくれてるだろうと他力本願したところ、jp1ajs2.jobdocに出会った。 おすすめポイント 定義情報をjp1ajs2.jobdocに食わせると、html形式で解析対象配下のジョブ定義のパラメータをテーブル形式で表示してくれたり、マップもsvg形式で出力してくれる。 ブラウザがあれば定義情報とマップの両方を参照できるのが素晴らしい。 コード値に対応した日本語の説明文も出力してくれるので、わかりやすい。 また、これでドキュメント化しておけば、定義を確認するのにJP1 View開いて確認する必要がないので、JP1 Viewを見れない人に情報共有をしたり、自席で定義をサクッと確認したりするのにちょうどいいと思う。
続きを読む

curlでADのドメインユーザーでプロキシを超える

-
curlでADのドメインユーザーで認証してプロキシを超えたい こちらのサイト でslackにsnmp trapを送信する方法が書かれていたのに触発されてシステムのエラーを通知するのに、MicrosoftのTeamsのWebhookにjsonで飛ばしてみようと思ったらcurlでつながらない。 ADユーザーでプロキシ認証しないと外に出られない、Linux好きにとっては反吐の出る環境のため、それが原因で外に出れなかった。 ネット上にcurlで認証通す場合こうしたらいいよ~みたいなのがいっぱい転がっているが、なんかいまいちなので自分のやったことを備忘録として乗っけとく。 実際のコマンド例 ほんとは出力するメッセージを加工したりする処理を入れているのだが、要素だけ掲載すると下記のようなコマンドで飛ばせる。 WEBHOOKのURL作ったりするところはggrksでよろしくお願いします。 #環境変数定義 MESSAGE=<なんかメッセージ> TEAMS_WEBHOOKURL=<TEAMSのWEBHOOKURL> #コマンド実行 echo "{ \" text \" : \" ${MESSAGE} \" } " | \ curl -H 'Content-type:application/json' \ -U "<ドメイン>\<ユーザー名>:<パスワード>" \ --proxy-ntlm \ -proxy <プロキシサーバ>:<ポート> \ -insecure -d @- ${TEAMS_WEBHOOKURL} プロキシ越えの肝となるオプション ポイントは下記の3つで、特にADのドメインユーザーで認証する場合、ntlm認証のために「--proxy-ntlm」オプションが必要らしい。 -U "<ドメイン>\<ユーザー名>:<パスワード>" --proxy-ntlm -proxy <プロキシサーバ>:<ポート>
続きを読む