AWS 관리형 Microsoft AD 디렉터리 또는 AD Connector에서 MFA가 실패하는 이유는 무엇입니까?

최종 업데이트 날짜: 2021년 6월 29일

내 AWS Directory Service for Microsoft Active Directory(AWS Managed Microsoft AD) 또는 AD Connector에서 멀티 팩터 인증(MFA)을 활성화했습니다. 하지만 MFA가 실패합니다. 이 문제를 해결하려면 어떻게 해야 합니까?

해결 방법

AWS Managed Microsoft AD 또는 AD Connector와 연결된 보안 그룹에는 포트 UDP 1812에서 RADIUS 서버와 연결된 보안 그룹에 대한 아웃바운드 트래픽을 허용하는 규칙이 있어야 합니다.

참고: MFA 인증에 사용자 지정 UDP 포트를 사용하는 경우 다음과 같은 규칙 하에서 사용자 지정 UDP 포트 트래픽을 허용하세요.

  • AWS Managed Microsoft AD 또는 AD Connector와 연결된 보안 그룹에 대한 아웃바운드 규칙.
  • RADIUS 서버와 연결된 보안 그룹의 인바운드 규칙.

AWS Managed Microsoft AD 또는 AD Connector 보안 그룹의 아웃바운드 트래픽에서 포트 UDP 1812 또는 MFA용 사용자 지정 UDP 포트가 허용되는지 확인합니다.

  1. DNS 서버와 연결된 보안 그룹을 찾기 위해 AWS Directory Service 콘솔을 열고 DNS 주소 아래의 IP 주소를 기록해 둡니다.
  2. Amazon Elastic Compute Cloud(Amazon EC2) 콘솔을 연 다음 네트워크 인터페이스를 선택합니다.
  3. 검색 필드에서, 1단계에서 찾은 DNS IP 주소 중 하나를 입력하고 해당 인터페이스의 확인란을 선택합니다.
  4. 세부 정보에서, 보안 그룹에 나열된 보안 그룹을 선택합니다.
  5. 아웃바운드 규칙 보기를 선택합니다. UDP용 포트 UPD 1812 또는 MFA용 사용자 지정 UDP 포트에서 RADIUS EC2 인스턴스와 연결된 IP 주소 공간 또는 보안 그룹에 대한 아웃바운드 트래픽을 허용하는 규칙이 있는지 확인합니다.

디렉터리 서비스에 대한 보안 키가 RADIUS 서버에 구성된 키와 같은지 확인합니다.

RADIUS 클라이언트와 서버는 동일한 공유 암호 또는 키를 사용해야 합니다. 자세한 내용은 RADIUS 서버 로그를 확인하세요. Radius 로그를 확인하는 방법은 구성에 따라 다릅니다. 로그 액세스에 대한 지침은 구성 설명서를 참조하세요.