こんにちは、サイオステクノロジー 山田です。

本記事は Microsoft Azure の共有ストレージサービスである Azure File を利用する際の認証で、Azure Active Directory Domain Services (後略：Azure ADDS)を利用した、SMB 経由のIDベース認証を検証した記事になります。

構成

Azure VM で Windows クライアント を構築し、Azure File をファイル共有サーバとしてマウントする構成とします。IDベース認証を利用するためには、Windows クライアントを Azure ADDS にドメイン参加させる必要があります。

Azure File 設定

Azure File と Azure ADDS の初期構築は完了している前提とします。

ID ベース認証の有効化

SMB 経由の Azure ADDS 認証を有効にします。
設定が反映されるのに10分程かかる場合があります。

[ストレージアカウント] – [構成] – [ファイル共有の ID ベースのアクセス]

アクセス権を付与

ストレージアカウントに対して、ユーザーまたはグループにアクセス権を付与します。

[ストレージアカウント] – [アクセス制御 (IAM)] – [追加]

■役割(用途に併せて以下を選択)
・記憶域ファイル データの SMB 共有の閲覧者：ファイルまたはディレクトリに対する読み取りアクセスを許可
・記憶域ファイル データの SMB 共有の共同作成者：ファイルまたはディレクトリに対する読み取り、書き込み、削除のアクセス権を許可
・ストレージ ファイル データの SMB 共有の管理者特権の共同作成者：ファイルまたはディレクトリに対する ACL の読み取り、書き込み、削除、変更を許可

■アクセスの割り当て先
・Azure ADのユーザー、グループ、サービス プリシンパル

■選択
・＜ユーザーまたはグループ＞

マウント確認

管理者とユーザを分けて、Azure File にマウントします。

管理者操作

アカウントキーを利用したマウントの場合、IDベースの認証では無いため、フルコントロール権限が与えられます。
ローカルアカウントまたはドメイン管理者アカウントで Windows クライアントにログインし、以下コマンドをコマンド プロンプトから実行します。

> net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name> <storage-account-key> /user:Azure\<storage-account-name>

例)

> net use Z: \\sharestorage001.file.core.windows.net\folder01 LmhGGuhTwrxgJegIl/VYbId1nFsl/gpyC9Rr+KiapbhPsYiLF/yajJFyYk+fC1WWTD3VEsi+690mi3j3sdEveA== /user:Azure\sharestorage001

マウント後は利用用途にしたがって、NTFS アクセス権をドライブやディレクトリに付与できます。

ユーザー操作

ユーザーアカウントで Windows クライアントにログインし、以下コマンドをコマンド プロンプトから実行します。設定が完了していれば、ユーザーやパスワードなどが問われずに成功します。

> net use <desired-drive-letter>: \\<storage-account-name>.file.core.windows.net\<share-name>

例)

> net use Z: \\sharestorage001.file.core.windows.net\folder01

マウント後は管理者が設定した NTFS アクセス権にしたがって利用が可能です。

最後に

Azure File で Azure ADDS を利用した ID ベース認証をご紹介しました。今回で最大の問題になるのが、マウント対象のクライアントが Azure ADDS にドメイン参加している必要があるということです。この問題をクリアしている環境であれば非常に有用な機能であると言えます。プレビューではありますが、オンプレADとIDベース認証を行う機能もあるようなので、機会があれば検証してみたいと思います。

About 山田康裕 27 Articles

20代前半からLinux系OSSや認証基盤を中心とした提案/設計/構築を担当。特に仕事を選ばない、何でも屋さん。

Twitter YouTube