#はじめに
こんにちは、山田です。
今回はClient VPNをActive Directory認証を用いて実装してみました。
#全体構成図。
下記に全体構成図を記載する。
①:AWS VPN Clientを用いて、Client VPNに接続する。
②:接続する際はSimpleADにてユーザー認証を受ける。
③:ターゲットネットワークに接続したら、ブラウザにてALBに接続する。
④:ALBがトラフィックを分散し,EC2に接続する。
#前提条件
今回はSimpleADとクライアントVPNをメインに記載していきます。
EC2,ALB等は実装済みとします。
#SimppleADの構築
①:AWS管理コンソール -> Directory Service -> ディレクトリ -> ディレクトリのセットアップをクリックする。
②:ディレクトリタイプを選択する。今回はSimpleADを選択します。
③:ディレクトリの情報を入力する。今回はサイズはスモールを選択し、DNS名はtest.localにする。
④:関連付けるサブネットを選択し、ディレクトリを作成する。
⑤:ユーザーを下記の記事を参考に登録する。
#Client VPNの作成
①:AWS管理コンソール -> VPC -> クライアントVPN -> クライアント VPN エンドポイントの作成をクリックする。
②:認証情報の欄で、サーバ証明書を選択する。
認証オプションは、ユーザー認証のActive Directory 認証を選択する。ディレクトリに関しては先ほど作成した、SimpleADを選択する。
④:その他のオプションパラメータの欄で、DNSサーバーアドレスはSimpleADのアドレスを指定する。
⑤:関連付けをクリックして、ターゲットネットワークにするサブネットを選択する。
⑥:認証をクリックして、承認済みネットワークにするサブネットを選択する。
⑦:クライアントVPN設定ファイルをダウンロードし、以下のようなクライアント証明書とプライベートキーの内容を記載する。
<cert>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</cert>
<key>
-----BEGIN PRIVATE KEY-----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-----END PRIVATE KEY-----
</key>
⑧:AWS Client VPNを下記よりダウンロードし、クライアントVPN設定ファイルを設定する。
#接続確認
①:AWS VPN Clientを起動し接続する。ユーザー名とパスワードを聞かれるので入力する。今回は、administratorで接続する。
②:ブラウザにてALBのDNS名を入力し、接続できれば完了!
