为 AD Connector 启用多重身份验证 - Amazon Directory Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 AD Connector 启用多重身份验证

如果有,则可以为 AD Connector 启用多重身份验证 Active Directory 在本地或 Amazon EC2 实例中运行。有关使用多重身份验证的更多信息 Amazon Directory Service,请参阅AD Connector 先决条件

注意

多重身份验证对 Simple AD 不可用。但是,可以为你的托管 M Amazon icrosoft AD 目录启用 MFA。有关更多信息,请参阅 为 Amazon 托管的 Microsoft AD 启用多因素身份验证

为 AD Connector 启用多重身份验证

  1. Amazon Directory Service 控制台导航窗格中,选择目录

  2. 选择您 AD Connector 目录的目录 ID 链接。

  3. 目录详细信息页面上,选择 Networking & security (联网和安全性) 选项卡。

  4. 多重验证部分中,选择操作,然后选择启用

  5. 启用多重身份验证(MFA)页面上,提供以下值:

    显示标签

    提供标签名称。

    RADIUS 服务器 DNS 名称或 IP 地址

    您的 RADIUS 服务器终端节点的 IP 地址或者您的 RADIUS 服务器负载均衡器的 IP 地址。可以输入多个 IP 地址,用逗号分隔开(例如 192.0.0.0,192.0.0.12)。

    注意

    RADIUS MFA 仅适用于对亚马逊企业应用程序和服务(例如 WorkSpaces亚马逊 QuickSight或 Amazon Chime)的访问进行身份验证。 Amazon Web Services Management Console它不为在 EC2 实例上运行的 Windows 工作负载提供 MFA,也不会为登录实例 EC2 提供 MFA。 Amazon Directory Service 不支持 RADIUS 质询/响应身份验证。

    用户在输入其用户名和密码时必须拥有 MFA 代码。或者,您必须使用执行 MFA 的解决方案, out-of-band例如对用户进行 SMS 文本验证。在 out-of-band MFA 解决方案中,必须确保为您的解决方案正确设置 RADIUS 超时值。使用 out-of-band MFA 解决方案时,登录页面将提示用户输入 MFA 代码。在这种情况下,最佳做法是让用户在密码字段和 MFA 字段中均输入密码。

    端口

    RADIUS 服务器用来通信的端口。您的本地网络必须允许服务器通过默认 RADIUS 服务器端口 (UDP: 1812) 的入站流量。 Amazon Directory Service

    Shared secret code

    在创建 RADIUS 终端节点时指定的共享密码。

    Confirm shared secret code (确认共享密码)

    确认您的 RADIUS 终端节点的共享密码。

    协议

    选择在创建 RADIUS 终端节点时指定的协议。

    服务器超时(以秒为单位)

    等待 RADIUS 服务器响应的时间长度 (以秒为单位)。此值必须介于 1 和 50 之间。

    RADIUS 请求最大重试次数

    将尝试与 RADIUS 服务器通信的次数。此值必须介于 0 和 10 之间。

    RADIUS Status 更改为 Enabled 时,多重验证将可用。

  6. 请选择启用