Falhas de autenticação – SSH/SFTP Problema de realm incompatíveis do AD gerenciado Limites de grupos do Active Directory excedidos Problemas de autenticação diversos Solução de problemas do Amazon API Gateway Solução de problemas ao testar seu provedor de identidade Buckets duplicados do Amazon S3 no aplicativo web

Solução de problemas de autenticação

Esta seção descreve possíveis soluções para os seguintes problemas de autenticação.

Tópicos

Falhas de autenticação – SSH/SFTP
Problema de realm incompatíveis do AD gerenciado
Limites de grupos do Active Directory excedidos
Problemas de autenticação diversos
Solução de problemas do Amazon API Gateway
Solução de problemas ao testar seu provedor de identidade
Buckets duplicados do Amazon S3 no aplicativo web

Falhas de autenticação – SSH/SFTP

Descrição

Quando você tenta se conectar ao seu servidor usando o protocolo de transferência de arquivos (SFTP) Secure Shell (SSH), você recebe uma mensagem semelhante à seguinte:


Received disconnect from 3.130.115.105 port 22:2: Too many authentication failures
  Authentication failed.

nota

Se você estiver usando um API Gateway e receber este erro, consulte Muitas falhas de autenticação.

Causa

Como você não adicionou um par de chaves RSA para seu usuário, em vez disso você deve se autenticar usando uma senha.

Solução

Quando executar o comando sftp, especifique a opção -o PubkeyAuthentication=no. Esta opção força o sistema a solicitar sua senha. Por exemplo:


sftp -o PubkeyAuthentication=no sftp-user@server-id.server.transfer.region-id.amazonaws.com

Problema de realm incompatíveis do AD gerenciado

Descrição

O realm de um usuário e o realm de seu grupo devem corresponder. Ambos devem estar no realm padrão ou no realm confiável.

Causa

Se um usuário e seu grupo não corresponderem, o usuário não poderá ser autenticado pelo Transfer Family. Se você testar o provedor de identidade para o usuário, receberá o erro Nenhum acesso associado encontrado para grupos de usuários.

Solução

Faça referência a um grupo no realm do usuário que corresponda ao realm do grupo (padrão ou confiável).

Limites de grupos do Active Directory excedidos

Descrição

Ao tentar adicionar mais grupos do Active Directory ao seu AWS Transfer Family servidor, você recebe um erro indicando que atingiu o número máximo de grupos permitido.

Causa

AWS Transfer Family tem um limite padrão de 100 grupos do Active Directory por servidor.

Solução

Essas são duas soluções possíveis:

Consolide seus grupos do Active Directory para reduzir o número total necessário.
Se seu caso de uso exigir mais de 100 grupos, considere usar uma solução de provedor de identidade personalizada, conforme descrito em Simplifique a autenticação do Active Directory com um provedor de identidade personalizado para AWS Transfer Family.

Problemas de autenticação diversos

Descrição

Você recebe um erro de autenticação e nenhuma das outras soluções de problemas funciona

Causa

Você pode ter especificado um destino para um diretório lógico que contenha uma barra inicial ou final (/).

Solução

Atualize o destino do diretório lógico para garantir que ele comece com uma barra e não contenha uma barra final. Por exemplo, /amzn-s3-demo-bucket/images é aceitável, mas amzn-s3-demo-bucket/images /amzn-s3-demo-bucket/images/ não é.

Solução de problemas do Amazon API Gateway

Esta seção descreve possíveis soluções para os seguintes problemas do API Gateway.

Muitas falhas de autenticação

Descrição

Quando você tenta se conectar ao seu servidor usando o protocolo de transferência de arquivos (SFTP) Secure Shell (SSH), você recebe o seguinte erro:


Received disconnect from 3.15.127.197 port 22:2: Too many authentication failures
Authentication failed.
Couldn't read packet: Connection reset by peer

Causa

Você pode ter inserido uma senha incorreta para o seu usuário. Tente digitar a senha correta novamente.

Se a senha estiver correta, o problema pode ser causado por uma função nome do recurso da Amazon (ARN) que não é válida. Para confirmar se esse é o problema, teste o provedor de identidade do seu servidor. Se você vir uma resposta semelhante à seguinte, o ARN da função é apenas um espaço reservado, conforme indicado pelo valor da ID da função de todos os zeros:


{
    "Response": "{\"Role\": \"arn:aws:iam::000000000000:role/MyUserS3AccessRole\",\"HomeDirectory\": \"/\"}",
    "StatusCode": 200,
    "Message": "",
    "Url": "https://api-gateway-ID.execute-api.us-east-1.amazonaws.com/prod/servers/transfer-server-ID/users/myuser/config"
}

Solução

Substitua o ARN da função de espaço reservado por uma função real que tenha permissão para acessar o servidor.

Para atualizar a função

Abra o CloudFormation console em https://console.aws.amazon.com/cloudformation.
No painel de navegação à esquerda, selecionePilhas.
Na lista Pilhas, escolha sua pilha e, em seguida, escolha a guia Parameters (Parâmetros).
Selecione Atualizar. Na página Atualizar pilha, escolha Usar modelo atual e, em seguida, escolha Próximo.
UserRoleArnSubstitua por um ARN de função que tenha permissões suficientes para acessar seu servidor Transfer Family.

nota
Para conceder as permissões necessárias, é possível adicionar as políticas gerenciadas AmazonAPIGatewayAdministrator e AmazonS3FullAccess à sua função.
Selecione Próximo e Próximo novamente. Na stack página de revisão, selecione Eu reconheço que isso AWS CloudFormation pode criar recursos do IAM e, em seguida, escolha Atualizar pilha.

Conexão fechada

Descrição

Quando você tenta se conectar ao seu servidor usando o protocolo de transferência de arquivos (SFTP) Secure Shell (SSH), você recebe o seguinte erro:


Connection closed

Causa

Uma possível causa para esse problema é que sua função de CloudWatch registro na Amazon não tem uma relação de confiança com a Transfer Family.

Solução

Certifique-se de que a função de registro em log do servidor tenha uma relação de confiança com a Transfer Family. Para obter mais informações, consulte Estabelecer um relacionamento de confiança.

Solução de problemas ao testar seu provedor de identidade

Descrição

Se você testar seu provedor de identidade usando o console ou a operação da TestIdentityProvider API, o Response campo estará vazio. Por exemplo:


{
    "Response": "{}",
    "StatusCode": 200,
    "Message": ""
}

Causa

A causa mais provável é a falha de autenticação por nome de usuário ou senha incorretos.

Solução

Verifique se você está usando as credenciais corretas para seu usuário e atualize o nome de usuário ou a senha, se necessário.

Buckets duplicados do Amazon S3 no aplicativo web

Descrição

O mesmo bucket do Amazon S3 aparece várias vezes na interface do aplicativo web Transfer Family.

Causa

Isso ocorre quando um usuário pertence a vários grupos do Active Directory que têm concessões para o mesmo bucket do Amazon S3. O aplicativo web lista todas as concessões de nível superior associadas ao UID ou GID do usuário, incluindo concessões duplicadas para o mesmo local do bucket.

Solução

Para evitar listagens duplicadas, consolide as concessões para que cada usuário tenha apenas uma concessão por local do Amazon S3. Revise sua configuração do Amazon S3 Access Grants e remova concessões redundantes para o mesmo bucket em diferentes grupos do Active Directory.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Solução de problemas do Transfer Family

Problemas com o conector SFTP