我已在 AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) 目录或 AD Connector 上启用了多重身份验证 (MFA)。但是,MFA 发生故障。如何解决此问题?
解决方法
与 AWS Managed Microsoft AD 或 AD Connector 关联的安全组必须有一条规则,允许端口 UDP 1812 上的出站流量发送到与 RADIUS 服务器关联的安全组。
**注意:**如果您使用自定义 UDP 端口进行 MFA 身份验证,请按照以下规则允许自定义的 UDP 端口流量:
- 与 AWS Managed Microsoft AD 或 AD Connector 关联的安全组上的出站规则。
- 与 RADIUS 服务器关联的安全组上的入站规则。
验证按照 AWS Managed Microsoft AD 或 AD Connector 安全组上的出站流量规则,是否允许使用端口 UDP 1812 或用于 MFA 的自定义 UDP 端口
- 要查找与 DNS 服务器关联的安全组,请打开 AWS Directory Service 控制台,并注意 DNS 地址下的 IP 地址。
- 打开 Amazon Elastic Compute Cloud (Amazon EC2) 控制台,然后选择网络接口。
- 在搜索字段中,输入步骤 1 中找到的其中一个 DNS IP 地址,然后选中该接口的复选框。
- 在详细信息下,选择安全组中列出的安全组。
- 选择查看出站规则。验证是否存在相关规则,可允许用于 UDP 的 UDP 1812 端口或用于 MFA 的自定义 UDP 端口上的出站流量发送至 IP 地址空间或与 RADIUS EC2 实例关联的安全组。
验证目录服务的私有密钥是否与 RADIUS 服务器上配置的密钥相同
RADIUS 客户端和服务器必须使用相同的共享密码或密钥。查看 RADIUS 服务器日志,以了解更多信息。检查 Radius 日志的方法视您的配置而定。查看配置文档,了解有关访问日志的说明。
相关信息
为 AWS Managed Microsoft AD 启用多重身份验证
为 AD Connector 启用多重身份验证