使用AWS re:Post即您表示您同意 AWS re:Post 使用条款

为什么无法在我的 AWS Managed Microsoft AD 目录或 AD Connector 上启用 MFA?

1 分钟阅读
0

我已在 AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) 目录或 AD Connector 上启用了多重身份验证 (MFA)。但是,MFA 发生故障。如何解决此问题?

解决方法

与 AWS Managed Microsoft AD 或 AD Connector 关联的安全组必须有一条规则,允许端口 UDP 1812 上的出站流量发送到与 RADIUS 服务器关联的安全组。

**注意:**如果您使用自定义 UDP 端口进行 MFA 身份验证,请按照以下规则允许自定义的 UDP 端口流量:

  • 与 AWS Managed Microsoft AD 或 AD Connector 关联的安全组上的出站规则。
  • 与 RADIUS 服务器关联的安全组上的入站规则。

验证按照 AWS Managed Microsoft AD 或 AD Connector 安全组上的出站流量规则,是否允许使用端口 UDP 1812 或用于 MFA 的自定义 UDP 端口

  1. 要查找与 DNS 服务器关联的安全组,请打开 AWS Directory Service 控制台,并注意 DNS 地址下的 IP 地址。
  2. 打开 Amazon Elastic Compute Cloud (Amazon EC2) 控制台,然后选择网络接口
  3. 在搜索字段中,输入步骤 1 中找到的其中一个 DNS IP 地址,然后选中该接口的复选框。
  4. 详细信息下,选择安全组中列出的安全组。
  5. 选择查看出站规则。验证是否存在相关规则,可允许用于 UDP 的 UDP 1812 端口或用于 MFA 的自定义 UDP 端口上的出站流量发送至 IP 地址空间或与 RADIUS EC2 实例关联的安全组。

验证目录服务的私有密钥是否与 RADIUS 服务器上配置的密钥相同

RADIUS 客户端和服务器必须使用相同的共享密码或密钥。查看 RADIUS 服务器日志,以了解更多信息。检查 Radius 日志的方法视您的配置而定。查看配置文档,了解有关访问日志的说明。


相关信息

为 AWS Managed Microsoft AD 启用多重身份验证

为 AD Connector 启用多重身份验证

AWS 官方
AWS 官方已更新 3 年前