- ライター:田中 政満
- 入社以来無線LANの製品担当SEとして製品や技術の調査、検証評価、及び、提案や導入を支援する業務に従事。
現在はキャンパスセキュリティや自動化に力を入れるなど、エンタープライズSDNのエンジニアとして邁進中。
目次
はじめに
企業内における様々な役割を持つサーバたちをクラウドへ移行する時代が到来し、オンプレミスで持つサーバが減少している企業が珍しくなくなっています。一部クラウドからオンプレへの回帰は行われていますが、クラウドに配置したほうが良いもの、オンプレミスに配置したほうがよいもの、というようにうまく棲み分けが行われています。今後は、オンプレミスのシステムとクラウドのシステムを両方とも利用する “ハイブリッドな社内ITシステム” のような形態になる企業は増加の一歩をたどるでしょう。
この流れは、企業のITシステムのユーザDBを兼ねるディレクトリサーバも例外ではなく、クラウドアプリケーションの社内への導入に合わせ、オンプレ/クラウドのハイブリッド化や、完全クラウド化も機能的には実現できるようになってきました。
企業では、クライアント端末はWindowsが多いため、それに合わせActiveDirectory環境が整備されている企業も多いと推測します。Microsoftが提供するIDaaSであるAzure ADの高機能化に併せ、オンプレミス環境にあるActiveDirecotryドメインコントローラをクラウドで代替できるようになってきており、ID管理を全てクラウドで構築する、というような構成も取ることができるようになります。
ActiveDirectoryの機能を全てクラウドで持つことにより、高度な運用が要求されるドメインコントローラをオンプレミス環境から無くすことができるのは、大きなメリットですが、今回のテーマであるネットワーク認証においては少々厄介な事態になります。これまでであれば、オンプレミスに存在していたActiveDirectoryを、RADIUSサーバが参照しに行くことにより、Windowsアカウント(ActiveDirectoryアカウント)の情報を容易に入手することができ、ネットワーク認証に活用(EAP-PEAP等)することができました。これがすべてクラウド化することにより、単純なActiveDirectory認証の問い合わせだけでは済まなくなり、対応する機能を用いてユーザ問い合わせを実施する必要が出てきた点が従来と異なる点です。
今回は、認証サーバ(RADIUSサーバ)にCisco ISEを用い、ディレクトリサーバがオールクラウド化した場合におけるネットワーク認証の実現について実際に動作を確認した記事となります。
構成図、認証の流れ
以下の図1に構成図を示します。今回はオンプレミスのActiveDirectoryは存在せず、Microsoft Azure ADにのみユーザが存在するという環境での検証です。
図1 構成図
通常のActiveDirectory経由の認証と異なり、IDの格納箇所はAzure ADとなるため、ISEはREST IDの仕組みを利用し、ユーザの問い合わせを行います。以下の図2に概念図である認証の流れを記載します。
図2 認証の流れ
検討すべきポイント
概念的な動作は上記に挙げた通りですが、実際に導入を検討する場合、以下の点が実運用・導入コスト等を考えた場合のポイントとなります。
・EAPの認証方式がWindows標準サポートではない
企業内で利用されているWindowsクライアントが、OS標準でサポートしているEAP-PEAP/EAP-TLSと異なり、EAP-TTLS(インナーメソッド: PAP)方式でのEAPが必須となります。これは、ISEがAzure ADに問い合わせに行く際に必要となるためですが、結果としてWindowsがサポートしていないEAP方式を用いるため、Cisco AnyConnect NAMなどのEAP-TTLS(PAP)をサポートするようなサプリカントソフトウェアの端末への導入が必要となり、追加コストおよびサプリカントソフトウェアの展開について検討を行う必要が出てきます。
・RADIUSサーバがAzure ADをサポートしている必要がある
従来のActiveDirectory認証と異なり、Azure ADへの問い合わせはREST IDを利用するため、RADIUSサーバ側への対応が必要となります。
既存で利用しているRADIUSサーバがAzure AD移行後に利用できない場合、RADIUSサーバのリプレースも併せて行う必要が出てきます。
まとめ
ディレクトリサーバのクラウド移行、という点ではメリットが多いように思われるAzure AD移行ですが、ネットワーク認証という観点で考えるとEAP方式が固定されること、RADIUSサーバ側の対応が必要なことなどの理由から、移行の検討に際して注意が必要と考えられます。
現時点の状況では、オンプレミス環境にあるActiveDirectoryを最低限維持しつつ、IDのデータベースのプライマリ系をクラウドへ移行したハイブリッドなActiveDirectoryとする環境が、ネットワーク認証を考えた場合の最適解となるでしょう。しかしこの場合、オンプレミスおよびクラウドの双方で、ディレクトリサーバの管理の負荷が発生するため、クラウド移行の本来の目的である運用コストの削減について達成することができるのかは、慎重に検討を行ってから実際に計画を行うことをおすすめします。
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
