为 AD Connector 启用多重身份验证 - AWS Directory Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 AD Connector 启用多重身份验证

当您在本地或 EC2 实例中运行 Active Directory 时,可以为 AD Connector 启用多重身份验证。有关多重验证与 AWS Directory Service 结合使用的更多信息,请参阅 AD Connector 先决条件

注意

多重身份验证对 Simple AD 不可用。但是,可为 AWS Managed Microsoft AD 目录启用 MFA。有关更多信息,请参阅为 AWS Managed Microsoft AD 启用多重身份验证

为 AD Connector 启用多重身份验证
  1. AWS Directory Service 控制台导航窗格中,选择目录

  2. 选择您 AD Connector 目录的目录 ID 链接。

  3. 目录详细信息页面上,选择 Networking & security (联网和安全性) 选项卡。

  4. 多重验证部分中,选择操作,然后选择启用

  5. 启用多重身份验证(MFA)页面上,提供以下值:

    显示标签

    提供标签名称。

    RADIUS 服务器 DNS 名称或 IP 地址

    您的 RADIUS 服务器终端节点的 IP 地址或者您的 RADIUS 服务器负载均衡器的 IP 地址。可以输入多个 IP 地址,用逗号分隔开(例如 192.0.0.0,192.0.0.12)。

    注意

    RADIUS MFA 仅适用于对亚马逊企业应用程序和服务(例如 WorkSpaces亚马逊 QuickSight或 Amazon Chime)的访问进行身份验证。AWS Management Console其不为在 EC2 实例上运行的 Windows 工作负载提供 MFA,也不会为登录 EC2 实例提供 MFA。AWS Directory Service 不支持 RADIUS 质询/响应身份验证。

    用户在输入用户名和密码时必须有 MFA 代码。或者,您必须使用执行 MFA 的解决方案, out-of-band 例如对用户进行 SMS 文本验证。在 out-of-band MFA 解决方案中,必须确保为您的解决方案正确设置 RADIUS 超时值。使用 out-of-band MFA 解决方案时,登录页面将提示用户输入 MFA 代码。在这种情况下,最佳做法是让用户在密码字段和 MFA 字段中均输入密码。

    端口

    RADIUS 服务器用来通信的端口。您的本地网络必须允许通过默认的 RADIUS 服务器端口(UDP:1812)从 AWS Directory Service 服务器传入入站流量。

    Shared secret code

    在创建 RADIUS 终端节点时指定的共享密码。

    Confirm shared secret code (确认共享密码)

    确认您的 RADIUS 终端节点的共享密码。

    协议

    选择在创建 RADIUS 终端节点时指定的协议。

    服务器超时(以秒为单位)

    等待 RADIUS 服务器响应的时间长度 (以秒为单位)。此值必须介于 1 和 50 之间。

    RADIUS 请求最大重试次数

    将尝试与 RADIUS 服务器通信的次数。此值必须介于 0 和 10 之间。

    RADIUS Status 更改为 Enabled 时,多重验证将可用。

  6. 请选择启用