本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为 AD Connector 启用多重身份验证
当您在本地或 Amazon EC2 实例中运行 Active Directory 时,可以为 AD Connector 启用多重身份验证。有关多重验证与 Amazon Directory Service 结合使用的更多信息,请参阅 AD Connector 先决条件。
注意
多重身份验证对 Simple AD 不可用。但是,可为 Amazon Managed Microsoft AD 目录启用 MFA。有关更多信息,请参阅 为 Amazon Managed Microsoft AD 启用多重身份验证。
为 AD Connector 启用多重身份验证
-
在 Amazon Directory Service 控制台
导航窗格中,选择目录。 -
选择您 AD Connector 目录的目录 ID 链接。
-
在目录详细信息页面上,选择 Networking & security (联网和安全性) 选项卡。
-
在多重验证部分中,选择操作,然后选择启用。
-
在启用多重身份验证(MFA)页面上,提供以下值:
- 显示标签
-
提供标签名称。
- RADIUS 服务器 DNS 名称或 IP 地址
-
您的 RADIUS 服务器终端节点的 IP 地址或者您的 RADIUS 服务器负载均衡器的 IP 地址。可以输入多个 IP 地址,用逗号分隔开(例如
192.0.0.0,192.0.0.12
)。注意
RADIUS MFA 仅适用于对 Amazon Web Services Management Console 或 Amazon Enterprise 应用程序和服务(例如 WorkSpaces、Amazon QuickSight 或 Amazon Chime)的访问进行身份验证。其不为在 EC2 实例上运行的 Windows 工作负载提供 MFA,也不会为登录 EC2 实例提供 MFA。Amazon Directory Service 不支持 RADIUS 质询/响应身份验证。
用户在输入其用户名和密码时必须拥有 MFA 代码。或者,您必须使用可执行带外 MFA 的解决方案,例如对用户进行 SMS 文本验证。在带外 MFA 解决方案中,必须确保为您的解决方案设置适当的 RADIUS 超时值。使用带外 MFA 解决方案时,登录页面将提示用户输入 MFA 代码。在这种情况下,最佳做法是让用户在密码字段和 MFA 字段中均输入密码。
- 端口
-
RADIUS 服务器用来通信的端口。您的本地网络必须允许通过默认的 RADIUS 服务器端口(UDP:1812)从 Amazon Directory Service 服务器传入入站流量。
- Shared secret code
-
在创建 RADIUS 终端节点时指定的共享密码。
- Confirm shared secret code (确认共享密码)
-
确认您的 RADIUS 终端节点的共享密码。
- 协议
-
选择在创建 RADIUS 终端节点时指定的协议。
- 服务器超时(以秒为单位)
-
等待 RADIUS 服务器响应的时间长度 (以秒为单位)。此值必须介于 1 和 50 之间。
- RADIUS 请求最大重试次数
-
将尝试与 RADIUS 服务器通信的次数。此值必须介于 0 和 10 之间。
当 RADIUS Status 更改为 Enabled 时,多重验证将可用。
-
请选择 启用。