View a markdown version of this page

为 AD Connector 启用多重身份验证 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 AD Connector 启用多重身份验证

当您在本地或 Amazon EC2 实例中运行 Active Directory 时,可以为 AD Connector 启用多重身份验证。有关使用多重身份验证的更多信息 Amazon Directory Service,请参阅AD Connector 先决条件

注意

Multi-factor 身份验证不适用于 Simple AD。但是,可以为你的托管 M Amazon icrosoft AD 目录启用 MFA。有关更多信息,请参阅 启用多因素身份验证 Amazon 微软 AD 托管

为 AD Connector 启用多重身份验证
  1. Amazon Directory Service 控制台导航窗格中,选择目录

  2. 选择您 AD Connector 目录的目录 ID 链接。

  3. 目录详细信息页面上,选择 Networking & security (联网和安全性) 选项卡。

  4. 在 “Multi-factor 身份验证” 部分,选择 “操作”,然后选择 “启用”。

  5. 启用多重身份验证(MFA)页面上,提供以下值:

    显示标签

    提供标签名称。

    RADIUS 服务器 DNS 名称或 IP 地址

    您的 RADIUS 服务器终端节点的 IP 地址或者您的 RADIUS 服务器负载均衡器的 IP 地址。您可以输入多个 IP 地址,方法是用逗号分隔它们(例如,192.0.0.0,192.0.0.122001:db8::1,2001:db8::2)。

    重要

    2025 年 10 月 7 日之后创建的目录要求用于多因素身份验证的 RADIUS 服务器可通过您的 VPC 的网络配置进行路由。如果无法通过 VPC 的路由表、安全组和网络 ACL 访问您的 RADIUS 服务器,则在多因素身份验证检查期间,多因素身份验证将失败。要解决此问题,请确保:

    • 网络路由:您的 VPC 路由表允许流量从部署了 AD Connector 目录实例的子网到达您的 RADIUS 服务器。

    • 网络 ACL:您的子网网络 ACL 允许 to/from 您的 RADIUS 服务器进行双向流量。

    注意

    RADIUS MFA 仅适用于对亚马逊企业应用程序和服务(例如 Amazon Quick 或 Ama WorkSpaces zon Chime)的访问权限进行身份验证。 Amazon Web Services 管理控制台它不为在 EC2 实例上运行的 Windows 工作负载提供 MFA,也不会为登录 EC2 实例提供 MFA。 Amazon Directory Service 不支持 RADIUS Challenge/Response 身份验证。

    用户在输入其用户名和密码时必须拥有 MFA 代码。或者,您必须使用可执行带外 MFA 的解决方案,例如对用户进行 SMS 文本验证。在带外 MFA 解决方案中,必须确保为您的解决方案设置适当的 RADIUS 超时值。使用带外 MFA 解决方案时,登录页面将提示用户输入 MFA 代码。在这种情况下,最佳做法是让用户在密码字段和 MFA 字段中均输入密码。

    端口

    RADIUS 服务器用来通信的端口。您的本地网络必须允许服务器通过默认 RADIUS 服务器端口 (UDP:1812) 的 Amazon Directory Service 入站流量。

    Shared secret code

    在创建 RADIUS 终端节点时指定的共享密码。

    Confirm shared secret code (确认共享密码)

    确认您的 RADIUS 终端节点的共享密码。

    协议

    选择在创建 RADIUS 终端节点时指定的协议。

    服务器超时(以秒为单位)

    等待 RADIUS 服务器响应的时间长度 (以秒为单位)。此值必须介于 1 和 50 之间。

    RADIUS 请求最大重试次数

    将尝试与 RADIUS 服务器通信的次数。此值必须介于 0 和 10 之间。

    Multi-factor 当 RADIUS 状态更改为已启用” 时,身份验证可用

  6. 请选择启用