Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

DUO/VPN设置上,无法在目录服务上启用多因素认证。

0

【以下的问题经过翻译处理】 我尝试启用目录服务中的多因素认证,以与我的VPN客户端集成DUO,但一直有问题。我按照这里的帖子完全操作,但在启用MFA时它一直失败:

https://aws.amazon.com/blogs/networking-and-content-delivery/using-microsoft-active-directory-mfa-with-aws-client-vpn/

所以我检查了所有内容。我确实在域中加入了EC2实例。我有规则允许了radius端口。我还测试了从目录服务到EC2实例的连接,连接成功。

我已经按照上面的帖子设置了DUO的配置,匹配DUO的密钥,并验证了共享的radius密钥是正常的。

但是,它没有明确指出EC2实例应该安装和配置radius / NPS角色。它只提到拥有radius服务器。所以,只是为了检查,我安装了NPS角色并将其设置为目录服务的客户端。尝试重新启用MFA时,我确实看到DS尝试连接并在日志中创建了一个错误。

Event ID:6273 Network Policy Server denied access to a user.

Contact the Network Policy Server administrator for more information.

User: Security ID:NULL SID Account Name:fakeusername Account Domain:MYDOMAIN Fully Qualified Account Name:MYDOMAIN\fakeusername

需要注意的是,“fakeusername”实际上是日志中出现的内容。现在在整个设置中都没有创建DS连接到radius服务器的系统帐户或某个帐户的区域,因此我有点困惑。 显然,不存在那个名称的用户,为了好玩,我用radius密钥创建了一个,只是想看看是否会产生任何作用,但当然它仍然失败了。

Themen
Sicherheit, Identität & KonformitätVernetzung & Bereitstellung von Inhalten
Tags
AWS Directory ServiceMulti-Faktor-AuthentifizierungAWS Virtuelles Privates Netzwerk (VPN)
Sprache
中文 (简体)
profile picture
EXPERTE
rePost Polyglot
gefragt vor 5 Monaten8 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 这个问题现在已经解决。我成功启用了多因素身份验证。只需要将DS的第二个IP地址添加到配置文件中,似乎就可以了。https://duo.com/docs/radius

profile picture
EXPERTE
rePost Polyglot
beantwortet vor 5 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt