无法为Client VPN配置AWS SSO(IAM Identity Center)身份验证

0

【以下的问题经过翻译处理】 根据此文章,我设置了Client VPN endpoint。(https://aws.amazon.com/ko/blogs/security/authenticate-aws-client-vpn-users-with-aws-single-sign-on/)在我仅使用示例中的授权规则,Client VPN可以顺利工作。但我添加了一些其他规则,它就不能正常工作了。这是我的示例。

AWS SSO group:

  • Group1:可以访问VPC中的所有IP范围(10.1.0.0/16)。
  • Group2:只能访问私有子网2(10.1.255.192/27)。

VPC设置:

  • VPC:10.1.0.0/16
  • 私有子网1:10.1.0.0/18
  • 私有子网2:10.1.255.192/27

授权规则:

  1. 启用访问的目标网络:10.1.0.0/16,授权访问的用户组:特定组中的用户,访问组ID:Group1 ID。
  2. 启用访问的目标网络:10.1.255.192/27,授权访问的用户组:特定组中的用户,访问组ID:Group2 ID。

通过这些配置,Group2可以很好地访问10.1.255.192/27,但Group1无法访问10.1.255.192/27(包括在10.1.0.0/16范围内)。我不知道为什么Group1无法访问10.1.255.192/27。请告诉我谁知道它发生了什么。

profile picture
专家
已提问 6 个月前27 查看次数
1 回答
0

【以下的回答经过翻译处理】 你所看到的是预期的行为。

请参见下面的两个部分并从我分享的链接中查看样例。


注意事项

当评估授权规则时,客户端VPN使用“最长前缀匹配”。有关详细信息,请参见故障排除主题 Authorization rules for Active Directory groups not working as expected 和Amazon VPC用户指南中的路由优先级

问题

我为我的Active Directory组配置了授权规则,但它们没有按照我的期望工作。我添加了一条针对0.0.0.0/0的授权规则,以授权所有网络的流量,但特定目标CIDR的流量仍然失败。

原因

授权规则在网络CIDR上进行索引。授权规则必须授予Active Directory组访问特定的网络CIDRs。对于0.0.0.0/0的授权规则被处理为一种特殊情况,因此无论创建授权规则的顺序如何,它们都将最后进行评估。

例如,假设您按以下顺序创建了五条授权规则:

  • 规则1:允许组1访问10.1.0.0/16
  • 规则2: 允许组1访问0.0.0.0/0
  • 规则3: 允许组2访问0.0.0.0/0
  • 规则4: 允许组3访问0.0.0.0/0
  • 规则5: 允许组2访问172.131.0.0/16

在此示例中,规则2、规则3和规则4最后才被评估。组1 仅能访问10.1.0.0/16,组2仅能访问172.131.0.0/16。组3不能访问10.1.0.0/16或172.131.0.0/16,但能访问这两个CIDR以外的网路。如果您移除规则1和规则5,则3个组均能访问所有网络。

解决方法:确保您创建的授权规则中显式允许了AD组访问特定网络CIDR。例如,如果您添加了允许访问0.0.0.0/0的规则,请留意这个规则的评估顺序在最后,在它之前的授权规则可能会决定AD组实际能访问的网络CIDR。

参考:https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-working-rules.html

profile picture
专家
已回答 6 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则