IT & IoT Security | Cloud | It's all about the life itself

Nothing in life is as important as you think it is, while you are thinking about it.

AWS Directory Service – Microsoft AD

Merhaba,

AWS Directory Service, dizin servisi(domain service) kullanımını birkaç faklı yol ile sağlayan dizin hizmeti servisidir.

SimpleAD: Sunduğu genel özellikler ile düşük maliyetli, Active Directory uyumlu samba4 dizin servisidir.

Microsoft AD: AWS bulutunda çalışan zengin özellikli ve diğer AWS servisleri ile birlikte çalışan Microsoft Active Directory servisidir. Aralık(03Dec15) ayında bu hizmetin duyurusu yapılmıştır. Lokal veri merkezinizdeki active directory yapınız ile trust ilişkisi tesis etmek isterseniz veya çok sayıda kullanıcınız varsa(5+ bin) bu servisi tercih etmelisiniz.

AD Connector: Lokal veri merkezinizdeki Active Directory yapınız ile AWS servislerini kullanmak isterseniz bu seçenek ile ilerleyebilirsiniz. Sign-in request’leri, lokal veri merkezinizdeki AD domain controller ’ınıza yönlendirilir ve authentication sağlanır.

Maliyet konusuna gelince, mevcut maliyet tablosu aşağıdaki gibidir.

clip_image002

AWS yönetim konsolundan, iki farklı availablity zone’da çalışan Microsoft AD servisini yaklaşık 20 dakikada kullanıma hazır hale getirebilirsiniz.

clip_image004

AWS EC2 servisinde instance oluştururken(launch instance), instance’ı otomatik olarak domain’e dahil edebilirsiniz. Uygun bir IAM rolü kullanmanız gerekiyor.

clip_image005

Domain’e dahil olarak açılan sanal sunucunuza AD DS yönetim aracını kurarak Active Directory yapısını yönetmeye başlayabilirsiniz.

clip_image007

AWS Microsoft AD servisi ile lokal veri merkezindeki active directory yapınız arasında trust ilişkisini yapılandırabilirsiniz.Tüm yapınızı AWS üzerinde tesis ediyorsanız veya lokal active directory yapınız ile bir ilişiklendirme yapmak istemiyorsanız trust işlemine gerek kalmayacaktır.

Bu servisten faydalanırken “güvenlik” konusunu değerlendirmeniz gerekir. AWS üzerinde host edilen Microsoft AD servisinin ntds.dit! veri tabanı da AWS üzerinde barınıyor.

İlk bakışta gözlediğim üzere; Group Policy tarafında, AWS’in ön tanımlı olarak oluşturduğu GPO’larda değişiklik yapamıyorsunuz, domain controller’lara RDP ile bağlanamıyorsunuz, dc’lerin administrative share ’lerinde de bağlanamıyorsunuz. Güvenlik tarafını, AWS’nin sertifikasyonları ile birlikte etraflıca değerlendirmek gerekiyor!

Herkese sorunsuz ve neşeli günler dilerim.

Kaynaklar:

https://forums.aws.amazon.com/forum.jspa?forumID=180

http://blogs.aws.amazon.com/security/post/Tx16AWCSDUNQCES/How-to-Migrate-Your-Microsoft-Active-Directory-Users-to-Simple-AD

https://forums.aws.amazon.com/ann.jspa?annID=3403

http://docs.aws.amazon.com/directoryservice/latest/devguide/welcome.html

https://msdn.microsoft.com/en-us/library/ms677980%28v=VS.85%29.aspx

https://wiki.samba.org/index.php/Setup_a_Samba_Active_Directory_Domain_Controller

1 comment found

Comments are closed.