※ 2022 年 1 月 28 日現在の情報をもとに作成しています
1. はじめに
本記事では、Active Directory Integration の中核的な存在である AD Connector (AD コネクタ) の主な役割について解説します。
2. AD Connector の役割
Active Directory Integration における AD Connector の役割は主に以下の 3 つです。
- ドメイン コントローラから AD 情報を採取し、クラウド上の Umbrella に送る (下図の青線)
- ドメイン コントローラなどからログオン履歴を採取し、Virtual Appliance (仮想アプライアンス) に送る (下図の赤線)
- クラウド上の Umbrella と各種情報の受け渡しをする (下図の橙色の線)
※ ログオン履歴の取得・送付は Virtual Appliance 環境でのみ行われます
それぞれのデータの詳細については以下の表のとおりです。
AD 情報 (青)
|
AD Users、AD Computers のリストと AD Groups に所属している AD Users のリスト。これにより、Umbrella Dashboard のポリシー画面やレポート画面にそれらの名前が表示される
|
ログオン履歴 (赤)
|
ドメイン ユーザー名 (およびドメイン コンピュータ名) とログオン元の IP アドレスを紐づけたログオン履歴の一覧。Virtual Appliance はこの情報と「ユーザーから送られてきた DNS リクエストの送信元 IP アドレス」を比較することで AD 情報を特定し、DNS リクエスト内の EDNS0 領域にそれらの情報を付与する
|
各種情報 (橙)
|
AD Connector からは AD Connector とドメインコントローラのステータスなどが送られ、クラウド上の Umbrella サーバーからはアップデート情報などが送られる
|
3. 通信に使われるポート
前述の 3 種類のデータの通信は以下の図で示すポート番号を通して行われます。
AD Connector はドメイン コントローラから TCP 636 を通してAD 情報を取得しており、通信には Kerberos または NTLM を使った LDAPS が用いられます。もし、ドメイン コントローラが LDAPS に対応しておらず、通信に失敗した場合は、LDAP による通信が TCP 389 を通して行われます。
また、AD Connector はドメイン コントローラから TCP 135+動的ポート (RPC/DCOM) を通してログオン情報を取得し、TCP 443 を通して HTTP (平文) で Virtual Appliance に送っています。なお、以下のサポート記事にあるとおり、この平文通信を暗号化する方法も用意されています。
Umbrella Virtual Appliance: Receiving user-IP mappings over a secure channel
https://support.umbrella.com/hc/en-us/articles/360036756651
AD Connector がクラウド側の Umbrella と各種情報を受け渡す際には TCP 443 HTTPS が使われます。
なお、上記以外にも AD Connector ではサーバー証明書関連の通信が行われます。詳しくは以下の公開文書をご参照ください。
(Virtual Appliance を使用している場合)
Identity Integrations - Active Directory Integration with the Virtual Appliances - Communication Flow and Troubleshooting
https://docs.umbrella.com/deployment-umbrella/docs/communication-flow-and-troubleshooting-1
(Virtual Appliance を使用していない場合)
Identity Integrations - Communication Flow and Troubleshooting
https://docs.umbrella.com/deployment-umbrella/docs/appx-a-communication-flow-and-troubleshooting