脱VPNとして手軽なAAP経由で、Proxmoxにアクセスをためしてみたいと思います。
結論
- Web GUIに接続自体はできるが、VMへのコンソール接続ができない。
- WebSocketの利用に制約があることが原因。
AAP Connectorのインストール
WindowsServerにインストールします。
AADアカウントでログインします。
2つのサービスが動いていればOKです。
.ps1
Get-Service | where {$_.DisplayName -like "*AAD*"} | ft -autosize -wrap
Azureポータルに登録されます。
hostsにルートの登録
.ps1
Add-Content $env:SystemRoot\System32\Drivers\etc\hosts "192.168.100.150 proxmox.local"
Get-Content $env:SystemRoot\System32\Drivers\etc\hosts
Start notepad "C:\Windows\System32\drivers\etc\hosts"
コネクタサーバーのhostsにProxmoxへのルートを追記します。
オンプレミスアプリの登録
ポータルからオンプレミスアプリの登録をします。このあと、ユーザ権限も追加が必要です。
アクセスのテスト
BadGatewayエラーが出ました。
こちらのサイトによると、SSL関連のエラーらしいので「バックエンドSSL証明書を検証する」のチェックを外します。
https://seesmitty.com/easy-setup-for-azure-ad-application-proxy-a-beginners-guide/
アクセスできました。しかし読み込みが止まったりちょっと挙動がおかしいです。
コンソール接続でエラー
SSH/VNCでVMを見ようとするとエラーになります。
こちらの公式説明によるとWebSocketはいろいろ制約があるとのこと。
https://learn.microsoft.com/ja-jp/azure/active-directory/app-proxy/application-proxy-faq#websocket
Azure AD アプリケーション プロキシでは WebSocket プロトコルはサポートされますか。
WebSocket プロトコル (QlikSense やリモート デスクトップ Web クライアント (HTML5) など) を使用するアプリケーションがサポートされるようになりました。 既知の制限事項には、次のようなものがあります。
- アプリケーション プロキシでは、WebSocket 接続を開く際に、サーバー応答に設定されている Cookie を破棄します。
- WebSocket 要求に SSO は適用されません。
- Windows Admin Center (WAC) の機能 (イベント ログ、PowerShell、リモート デスクトップ サービス) は、Azure AD アプリケーション プロキシ経由では動作しません。
まとめ
- 仕様なのでAAP経由でProxmoxのコンソール接続はできなそうです。HTML5はOKとのことなのでApache Guacamoleなどを挟むか、またはネットワーク的な対策が必要です。
- もし解決策をごぞんじでしたら教えていただけるとありがたいです。
参考にさせていただいたサイト