J'ai activé l'authentification multi-facteur (MFA) sur mon répertoire AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) ou sur mon AD Connector. Toutefois, MFA échoue. Comment y remédier ?
Solution
Le groupe de sécurité associé à votre AWS Managed Microsoft AD ou votre AD Connector doit avoir une règle qui autorise le trafic sortant sur le port UDP 1812 vers le groupe de sécurité associé à votre serveur RADIUS.
Remarque : si vous utilisez un port UDP personnalisé pour l'authentification MFA, autorisez le trafic de port UDP personnalisé sous les éléments suivants :
- Règles sortantes sur le groupe de sécurité associé à votre AWS Managed Microsoft AD ou votre AD Connector.
- Règles entrantes sur le groupe de sécurité associé à votre serveur RADIUS.
Vérifiez que le port UDP 1812 ou votre port UDP personnalisé pour MFA est autorisé sous le trafic sortant sur le groupe de sécurité AWS Managed Microsoft AD ou AD Connector.
- Pour trouver le groupe de sécurité associé à vos serveurs DNS, ouvrez la console AWS Directory Service et notez les adresses IP sous Adresse DNS.
- Ouvrez la console Amazon Elastic Compute Cloud (Amazon EC2), puis choisissez Interfaces réseau.
- Dans le champ de recherche, entrez l'une des adresses IP DNS trouvées à l'étape 1 et cochez la case correspondant à cette interface.
- Sous Détails, sélectionnez le groupe de sécurité répertorié dans Groupes de sécurité.
- Sélectionnez Afficher les règles sortantes. Vérifiez qu'une règle autorise le trafic sortant sur le port UDP 1812 pour UDP, ou sur votre port UDP personnalisé pour MFA, vers l'espace d'adressage IP ou vers le groupe de sécurité associé à vos instances EC2 RADIUS.
Vérifiez que la clé secrète des services de répertoire annuaire est la même que celle configurée sur le serveur RADIUS.
Le client et le serveur RADIUS doivent utiliser le même mot de passe partagé ou la même clé. Consultez les journaux du serveur RADIUS pour plus d'informations. La méthode de contrôle des journaux Radius dépend de votre configuration. Consultez la documentation de votre configuration pour obtenir des instructions sur l'accès aux journaux.
Informations connexes
Activer l'authentification multifacteur pour AWS Managed Microsoft AD
Puis-je activer l'authentification multifacteur pour AD Connector ?