AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) または AD Connector で多要素認証 (MFA) を有効にしています。それでも、MFA に失敗します。どうすれば解決できますか。
解決方法
AWS Managed Microsoft AD または AD Connector に関連付けられているセキュリティグループには、RADIUS サーバーに関連付けられたセキュリティグループへのポート UDP 1812 のアウトバウンドトラフィックを許可するルールが必要です。
注: MFA 認証にカスタム UDP ポートを使用している場合は、次の条件でカスタム UDP ポートトラフィックを許可します。
- AWS Managed Microsoft AD または AD Connector に関連付けられているセキュリティグループのアウトバウンドルール
- RADIUS サーバに関連付けられているセキュリティグループのインバウンドルール
AWS Managed Microsoft AD または AD Connector セキュリティグループのアウトバウンドトラフィックで、ポート UDP 1812 または MFA のカスタム UDP ポートが許可されていることを確認します。
- DNS サーバーに関連付けられているセキュリティグループについては、AWS Directory Service コンソールを開き、DNS アドレスの下の IP アドレスを確認します。
- Amazon Elastic Compute Cloud (Amazon EC2) コンソールを開き、[Network Interfaces] (ネットワークインターフェイス) を選択します。
- 検索フィールドに、ステップ 1 で確認した DNS IP アドレスのいずれかを入力し、インターフェイスのチェックボックスをオンにします。
- 詳細で、セキュリティグループの中からセキュリティグループを選択します。
- アウトバウンドルールの表示を選択します。UDP の場合はポート UPD 1812、MFA の場合はカスタム UDP ポートで、RADIUS EC2 インスタンスに関連付けられた IP アドレス空間またはセキュリティグループへのアウトバウンドトラフィックを許可するルールがあることを確認します。
Directory Service のシークレットキーが、RADIUS サーバで設定されているキーと同じであることを確認します。
RADIUS クライアントとサーバは、同じ共有パスワードまたはキーを使用する必要があります。RADIUS サーバログで詳細をご確認ください。RADIUS ログをチェックする方法は、設定によって異なります。ログへのアクセス手順については、設定のドキュメントをご参照ください。
関連情報
AWS Managed Microsoft AD の多要素認証の有効化
AD Connector の多要素認証の有効化