Microsoft Active DirectoryユーザーのSimple ADへの移行方法
AWS Directory ServiceによってSimple ADと呼ばれるスタンドアロンの高可用性のあるAWSマネージドのディレクトリを数分のうちに作成することができるようになります。Simple ADでは、Amazon EC2インスタンスがドメインに参加するためのユーザーアカウントとグループのメンバーシップを集中管理することができます。さらに、単一の認証情報ですべてのEC2インスタンスへのログインやアプリケーションへの認証ができるようになります。Simple ADに関する追加情報は、What is AWS Directory Service Simple AD?を参照してください。
このブログ記事では、Microsoft Active DirectoryなどのディレクトリからSimple ADにIDを移行するときに使用するコマンドについて紹介しようと思います。
重要事項: Simple ADディレクトリに対して変更を加える前に、バックアップとしてスナップショットを保持しておくことが重要です。いますぐディレクトリのスナップショットを作成する必要があれば、こちらの手順にしたがってください。
Simple ADへの移行
既存のIDをかんたんにActive DirectoryからSimple ADに移行することが可能です。さらに、無料使用枠でSimple ADをテストしているのであれば、この記事のステップにしたがってそのIDを本番用のSimple ADに移行することもできます。カンマ区切り値(CSV)ファイルをつかってActive Directoryからのデータのインポートとエクスポートをするコマンドラインツールである、csvdeを使用して移行を実行することができます。
注:セキュリティの観点から、パスワードはcsvdeを使用しては移行されません。あたらしいドメインで作成されたアカウントにあたらしいパスワードを設定する必要があります。
ステップ1: csvdeを使用するためにAD DSツールをインストールする
Simple ADに参加しているEC2 Windowsインスタンス(はじめに参加を実行する必要があれば、こちらの手順にしたがってください)があることを確認してください。Windowsインスタンスに役割と機能をインストールすることができるユーザーでログインして、管理者アカウントなどドメインにオブジェクトを作成します。このステップでは自分でセットアップしたEC2 Windowsインスタンスでコマンドを実行する必要があります。既存のActive Directoryにはあらかじめツールがインストールされていなければいけませんが、ツールが出てこない場合には同じコマンドを実行することができます。
Windows PowerShellをひらいて以下のふたつのコマンドのうちひとつを実行することでcsvcdをふくむActive Directoryツール群を入手します。
Windows Server 2008 R2では以下のコマンドを使用します。
> Add-WindowsFeature RSAT-ADDS-Tools
Windows Server 2012以降では以下のコマンドを使用します。
> Install-WindowsFeature RSAT-ADDS-Tools
ステップ2: 既存のActive Directory(またはSimple AD)からIDのエクスポート
Active Directoryが稼働しているドメインコントローラーから以下のコマンドを実行することでユーザーIDをファイルにエクスポートすることができます。
> csvde -f users.csv -l "DN, objectclass, objectcategory, givenName, sn, name, samAccountName, displayname" -r "(&(objectClass=user)(objectCategory=person))"
-lフラグを使用すると特定の属性を選択してエクスポートすることができます。オブジェクトに関するその他の情報を含めたい場合は追加のオプションを追加することができます。ユーザーオブジェクトについて利用可能なすべての 属性のリストがレビューできます。
ステップ3: Simple ADへのIDのインポート
users.csvファイルをSimple ADに参加したEC2インスタンスにコピーします。IDをインポートする前に、users.csvファイルをひらいて内容をレビューします。Administrator、Guest、krbgbtなどのユーザーの行はすべてのディレクトリにすでに存在しているため削除することができます。あたらしいディレクトリに存在させたいユーザーの行だけを残します。異なるドメイン名をもつドメインにもIDをインポートする場合は、dnやsnなどの値を参照しているためあたらしいドメイン名にあわせて更新する必要があります。
以下はあるユーザーアカウントの.csvファイルのサンプルです。
DN,objectClass,name,sAMAccountName,objectCategory,displayName,givenName, sn,userPrincipalName "CN=John Doe,CN=Users,DC=example,DC=com",user,John Doe,johndoe,"CN=Person,CN=Schema,CN=Configuration,DC=example,DC=com",John Doe,John,Doe,[email protected]
Simple ADに参加したEC2インスタンス上で以下のコマンドを入力して.csvファイルからユーザーをインポートします。
> csvde –i –f .\users.csv
ユーザーがインポートされた後、ユーザーは無効化されパスワードが要求されます。EC2インスタンスを起動してActive Directory管理ツールをインストールし、Active Directoryユーザーとコンピュータのツールを実行してアカウントの有効化とあたらしいパスワードの作成をすることができます。パスワードはつねに十分な長さと複雑さの要件を満たす必要があります。
結論
この記事ではcsvdeツールを使用して既存のIDをActive DirectoryからSimple ADにかんたんに移行する方法について紹介しました。このツールを使用するとIDの一括インポートを実行することも可能です。数分のうちにすぐSimple ADディレクトリを作成してすべてのIDのコピーを作成することができるため、現行のセットアップと同様の環境構築を開始することができます。
コメントを以下に記入いただくか、AWS Directory Service forum にコメントやご質問を記入していただくことができます。
- Chen(翻訳はSA渡邉が担当しました。原文はHow to Migrate Your Microsoft Active Directory Users to Simple AD)
コメント