AWSにはAWS Client VPNというマネージドのVPNサービスがあり、OpenVPN ベースのVPN クライアントを使用すれば、VPN接続を簡単に実施することができます。
その中で、Active Directory認証と相互認証(証明書)を使用して認証することができるのですが、
Active Directory認証を使用した際に通常のネットワークの使用とは異なる部分がありました。
Active Directory認証をする際の注意点
※動作としては以下のトラブルシュート
https://docs.aws.amazon.com/ja_jp/vpn/latest/clientvpn-admin/troubleshooting.html#ad-group-auth-rules
例えば、ひとつのClientVPNにおなじディレクトリに所属する2つのADグループと承認ルールを設定していたとします。
| ADグループ名 | 承認ルール |
|---|---|
| test1 | 10.0.0.0/16 |
| test2 | 10.0.0.0/16 |
上記のADグループ”test1”に"10.0.1.0/24"を追加したとします。
| ADグループ名 | 承認ルール |
|---|---|
| test1 | 10.0.0.0/16 |
| test1 | 10.0.1.0/24 |
| test2 | 10.0.0.0/16 |
その場合、"test2"のADグループに含まれるユーザは10.0.0.0/16に含まれるはずの10.0.1.0/24にはアクセスできなくなります。
※test1のADグループに紐づいている10.0.1.0/24への承認ルールが先に評価されてしまって、test2のユーザがアクセスしようとする際は10.0.1.0/24への通信が拒否されてしまう仕様のようです。
なので、test2のADグループに所属するユーザが10.0.1.0/24にアクセスさせたい場合は以下のように設定する必要があります。
| ADグループ名 | 承認ルール |
|---|---|
| test1 | 10.0.0.0/16 |
| test1 | 10.0.1.0/24 |
| test2 | 10.0.0.0/16 |
| test2 | 10.0.1.0/24 |
結論
ClientVPNに複数のADグループを設定する場合は、同じClientVPNに設定されているADグループに承認ルールの追加が通信に影響を及ぼさないかの確認が必要そうです。
細かく通信を制御させたい場合は、ClientVPNエンドポイントをユーザごとに分けることも検討したほうがよさそうです。