プロフィール
管理者:しらせ(HN)
とあるIT企業のインフラエンジニア。プライベートでは開発もちょっとやります。
※本ブログの内容はすべて個人の見解であり、所属する企業とは関連ありません。
カテゴリ別
内部リンク
[PR]
Twitter
来訪
287605 [合計]
73 [今日]
164 [昨日]
Powered by
Powered by AWS Cloud Computing

ByProduct - FukuSanButsu
ふくさんぶつBlog
開発系インフラエンジニア
インフラを学ぶ学生や企業のIT担当者のために


【AD】gMSA(グループ管理サービスアカウント)を使ってみる(前半)

Date:2020/11/14 17:21:27
Category:ActiveDirectory


お疲れ様です。
しらせです。

今日は、Microsoftのエンタープライズ向けサービスの代名詞である「ActiveDirectory」のドメインサービスに関して、ちょっと特殊なアカウントであるグループ管理サービスアカウント(通称gMSA)について調べました。

管理者自身がパスワードを個別に管理する必要が無くアカウントの実行ホストが限定できるなど、Windows環境におけるセキュリティ強化が見込めます。
概要の説明と実際の導入の2回に分けて備忘録的に書いていきたいと思います。


もくじ



ドメインサービスとアカウントについて

多くの企業で導入されているMicrosoftの統合認証基盤である「ActiveDirectory」ですが、その中でもドメインサービスはコンピューターやアカウント情報の管理からポリシー制御やLDAP機能まで備えており、企業規模を問わずWindows環境の管理にとっては無くてはならない存在です。

最近ではクラウド化が進んでいることもあり、オンプレミスのドメインコントローラーは徐々にAzureActiveDirectoryへ移行しつつあると思いますが、ハイブリッド構成としても引き続き利用しているのではないでしょうか。

ActiveDirectoryドメインサービスを使う上で特に注意したいのがユーザーアカウントです。
ドメインに参加しているサーバやクライアントでは、Kerberosの仕組みによって環境を意識せずに透過的にユーザーアカウントを利用することが可能となっています。

ドメインコントローラ上に登録されるアカウントは、基本的にはパスワード認証がベースとなっており、鍵やクライアント証明書を使った2FAやAuthenticatorのようなMFAもそのままの状態では利用できません。

そのためアカウントのパスワード管理を誤ると、簡単にシステムに侵入することを許し、最悪のケースでは特権アカウントの取得まで可能となるケースがあります。

一方でこれらのアカウントは、特にWindowsサーバ管理においては自動化やバックグラウンドサービスの実行などあらゆる場面でも利用でき大変便利なものとなっています。


gMSAについて

グループ管理サービスアカウント(以下、gMSA)については、マイクロソフト社より以下のような公式ドキュメントが公開されてます。

Group Managed Service Accounts Overview
https://docs.microsoft.com/ja-jp/windows-server/security/group-managed-service-accounts/group-managed-service-accounts-overview

Getting Started with Group Managed Service Accounts
https://docs.microsoft.com/ja-jp/windows-server/security/group-managed-service-accounts/getting-started-with-group-managed-service-accounts

だらだらと記載されていますが最も重要なポイントが「パスワードの自動管理」になります。

通常ドメイン環境におけるアカウントは、アカウント名@ドメイン + パスワードによりKerberosを利用して認証認可されて利用が可能となります。
そのため設定するパスワードはシステム外で管理をしなければならず、その複雑性や変更管理においてシステム管理者の負担となっています。

一方でgMSAアカウントについては、このパスワード管理の部分がドメインサービス側に委任されます。
gMSAアカウントのパスワードは、ドメインサービスにおけるキー配布サービス(KDS)で定期的な変更の元で管理され、システム管理者がパスワードの存在を意識する必要がありません。
また指定したホスト以外でのアカウントの利用もできなくなるため、意図しないホストでの利用についても抑えることが可能となります。


gMSAの準備

gMSAの利用にはいくつかの制限が存在します。

特に「グループの管理されたサービス アカウントの要件 > Active Directory ドメイン サービスの要件」の1番目に記載されている通りADスキーマのバージョンを2012に更新する必要がある点は注意です。
また、ドメイン全体にWindows Server 2012以上のドメインコントローラーが1台以上必要にもなります。

現在のスキーマのバージョンは、ドメインコントローラ上で以下のコマンドにより確認が可能です。
表示された結果のobjectVersionが56(Windows Server 2012)以降である必要があります。
DSQuery * "cn=schema, cn=configuration, dc=test, dc=local" -Attr objectVersion -limit 5

Getting Started with Group Managed Service Accounts - docs.microsoft.com
現在のスキーマのバージョンを検索する方法 - docs.microsoft.com

その他、小さく記載されている仕様や実際に使ってみて分かった注意点などは以下の通りです。
まだ、すべて把握しきれておらず間違いなどあるかもしれません。。

ドメインコントローラ側

・Windows PowerShell必要
・Active Directory モジュール必要 ※機能の追加で含まれます
・Domain Adminsグループメンバーアカウントによる操作
・gMSAのパスワード変更間隔(日)は、アカウント作成時のみ指定可能

gMSAサーバ側

・Windows PowerShell必要
・タスクスケジューラなどに組み込む場合はAdministratosグループメンバーのアカウントによる操作


今回はgMSAの理解として事前情報をまとめてみました。
次回は実際にgMSAを利用してサーバのタスクスケジューラに仕込んでいきたいと思います。


以上、おつかれさまでした。



Views:60 この記事をツイート!