AD Connector에 대한 다중 인증 활성화

온프레미스 혹은 EC2 인스턴스로 액티브 디렉터리를 가동하는 경우 AD Connector에 대해 다중 인증을 활성화할 수 있습니다. AWS Directory Service에서 다중 인증 사용에 대한 자세한 내용은 AD Connector 사전 조건 단원을 참조하세요.

참고

Simple AD에는 다중 인증을 사용할 수 없습니다. 그러나 AWS Managed Microsoft AD 디렉터리에 대해서는 MFA를 활성화할 수 있습니다. 자세한 내용은 AWS Managed Microsoft AD에 다중 인증 사용 섹션을 참조하세요.

AD Connector에 대한 다중 인증 활성화

1. AWS Directory Service 콘솔 탐색 창에서 디렉터리를 선택합니다.

2. AD Connector 디렉터리에 대한 디렉터리 ID 링크를 선택합니다.

3. 디렉터리 세부 정보 페이지에서 Networking & security(네트워킹 및 보안) 탭을 선택합니다.

4. 다중 인증 섹션에서 작업을 선택한 다음 활성화를 선택합니다.

5. Enable multi-factor authentication (MFA)(다중 인증(MFA) 활성화) 페이지에서 다음 값을 제공합니다.

   레이블 표시

   레이블 이름을 제공합니다.

   RADIUS 서버 DNS 이름 또는 IP 주소

   RADIUS 서버 엔드포인트의 IP 주소 또는 RADIUS 서버 로드 밸런서의 IP 주소입니다. 쉼표로 구분하여 여러 IP 주소를 입력할 수 있습니다(예: 192.0.0.0,192.0.0.12).

   참고

   RADIUS MFA는 AWS Management Console에 대한 액세스를 인증하는 데만 적용하거나 WorkSpaces, Amazon QuickSight, Amazon Chime 등의 Amazon Enterprise 애플리케이션 및 서비스에 대한 액세스를 인증하는 데 적용할 수 있습니다. EC2 인스턴스에서 실행되는 Windows 워크로드 또는 EC2 인스턴스 로그인에 대해서는 MFA를 제공하지 않습니다. AWS Directory Service는 RADIUS 챌린지/응답 인증을 지원하지 않습니다.

   사용자는 사용자 이름과 암호를 입력할 때 MFA 코드를 알고 있어야 합니다. 또는 사용자에 대한 SMS 텍스트 확인 등, MFA 대역 외 작업을 수행하는 솔루션을 사용해야 합니다. 대역 외 MFA 솔루션에서는 RADIUS 제한 시간 값을 솔루션에 적합하게 설정해야 합니다. 대역 외 MFA 솔루션을 사용하는 경우 로그인 페이지에서 MFA 코드를 묻는 메시지가 표시됩니다. 이 경우, 사용자가 암호 필드와 MFA 필드 모두에 암호를 입력하는 것이 모범 사례입니다.

   포트

   RADIUS 서버에서 통신용으로 사용 중인 포트입니다. 온프레미스 네트워크는 AWS Directory Service 서버에서 기본 RADIUS 서버 포트(UDP:1812)로 전송되는 인바운드 트래픽을 허용해야 합니다.

   Shared secret code

   RADIUS 엔드포인트가 생성될 때 지정된 공유 보안 코드입니다.

   Confirm shared secret code

   RADIUS 엔드포인트의 공유 보안 코드를 확인합니다.

   프로토콜

   RADIUS 엔드포인트가 생성될 때 지정된 프로토콜을 선택합니다.

   서버 제한 시간(초)

   RADIUS 서버에서 응답을 대기할 시간(초)입니다. 이 값은 1~50이어야 합니다.

   최대 RADIUS 요청 재시도

   RADIUS 서버와 통신을 시도하는 횟수입니다. 이 값은 0~10이어야 합니다.

   [RADIUS Status]가 [Enabled]로 변경되면 다중 인증을 사용할 수 있습니다.

6. 활성화를 선택합니다.