LoginSignup
1
0

More than 1 year has passed since last update.

@pict3(Yutaka Hiroyama)

Google Cloud Directory Sync(GCDS)でActive Directoryから同期する

Posted at

はじめに

Google Cloud Directory Sync(GCDS)とは、Active DirectoryやAzure ADのような、企業で利用中のドメコンに登録しているユーザーやグループを、Google Workspace や Cloud Identityのユーザーやグループに同期するツールです。
Linux版とWindows版があります。

構成

GCDF.png

Active Directoryは、AWSのEC2上に構築しています。
マネージドサービスも存在しますが、検証用なのでお手頃に。

今回の肝となるGCDSも、AWS上に置いておきます。今回はWindows版を選択しました。
GCDSは、以下のサイトの一番上の図のようにGCEにデプロイすることも可能ですが(もしかしたら、この図の意図はサービスの主幹だけなのかも)、Active Directoryに近いところに置いておいた方が無難です。
複数のドメコンを1つのGCDSで集約する場合など、離れた場所に置く場合は経路の暗号化などの対策を。
https://cloud.google.com/architecture/identity/federating-gcp-with-active-directory-introduction

実施手順

Active Directoryの設定

GCDSを使うための特別な設定変更は不要です。

蛇足ですが、検証用ADサーバーを立てる際に、クライアント端末からWorkGroupに参加できないエラーに当たりました。
結果、Security Groupの設定をミスっていたのですが、以下のサイトですごくロジカルなトラブルシューティングができました。オススメ!
https://theitbros.com/active-directory-domain-controller-could-not-be-contacted/

GCDFのデプロイと設定

デプロイはダウンロードしたインストーラーを叩くだけですし、実行もGUIで行えます。
公式サイトも充実しています。以下あたりが参考になりました。
https://cloud.google.com/architecture/identity/federating-gcp-with-active-directory-synchronizing-user-accounts
https://cloud.google.com/community/tutorials/gcds-use-cases-common-and-complex
https://support.google.com/a/answer/3011361?hl=en

お試し環境構築時に、以下のエラーメッセージに直面しました。

Failed to execute query because neither the search rule, nor the LDAP connection settings specify a Base DN. To resolve this error please specify a Base DN in either the search rule or the LDAP connection settings. The Base DN provided in LDAP connection settings is used for fallback if a search rule doesn't have its Base DN specified, reason: NameNotFoundException - [LDAP: error code 32 - 0000208D: NameErr: DSID-0310021C, problem 2001 (NO_OBJECT), data 0, best match of:

LDAP Configurationのポート変更(389 -> 3268)で解消しました。(先に挙げた公式サイトにも記載されている内容でした。)

設定次第で、双方向同期や片方向同期どちらも可能です。
例えば、合併などである会社の所有していたADサーバー上から、ユーザーを片方向同期するような使い方が想定されます。

実行

GCDFには、DryRun的に実行するSimulate Sync機能があります。
最初の実行はSimulate Syncの内容を確認してから実施することを強くお勧めします。

このように、差分を確認することが可能です。
Screenshot at Jan 22 12-48-53.png

双方向同期する場合は、実行をスケジュールタスクに登録して自動化しておきましょう。

まとめ

ドメコンは、自己学習くらいにしか触っていない自分でも、GCDFにより、お手軽&直感的にドメインユーザーの連携ができました。
実際には利用するには、細かなチューニングが必要になるケースもありますが、GCDFの除外設定などで制御可能なことも多いです。
気になった方は一度、直接触ってみましょう!

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0