本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 为 AD Connector 启用多重身份验证 当您在本地或 Amazon EC2 实例中运行 Active Directory 时,可以为 AD Connector 启用多重身份验证。有关使用多重身份验证的更多信息 Directory Service,请参阅[AD Connector 先决条件](ad_connector_getting_started.md#prereq_connector)。 **注意** 多重身份验证对 Simple AD 不可用。但是,可以为你的托管 M AWS icrosoft AD 目录启用 MFA。有关更多信息,请参阅 [为 AWS 托管的 Microsoft AD 启用多因素身份验证](ms_ad_mfa.md)。 **为 AD Connector 启用多重身份验证** 1. 在 [AWS Directory Service 控制台](https://console.aws.amazon.com/directoryservicev2/)导航窗格中,选择**目录**。 1. 选择您 AD Connector 目录的目录 ID 链接。 1. 在**目录详细信息**页面上,选择 **Networking & security (联网和安全性)** 选项卡。 1. 在**多重验证**部分中,选择**操作**,然后选择**启用**。 1. 在**启用多重身份验证(MFA)**页面上,提供以下值: **显示标签** 提供标签名称。 **RADIUS 服务器 DNS 名称或 IP 地址** 您的 RADIUS 服务器终端节点的 IP 地址或者您的 RADIUS 服务器负载均衡器的 IP 地址。可以输入多个 IP 地址,用逗号分隔开(例如 `192.0.0.0,192.0.0.12`)。 RADIUS MFA 仅适用于对亚马逊企业应用程序和服务(例如 Amazon Quick 或 Ama WorkSpaces zon Chime)的访问权限进行身份验证。 AWS 管理控制台它不为在 EC2 实例上运行的 Windows 工作负载提供 MFA,也不会为登录 EC2 实例提供 MFA。 Directory Service 不支持 RADIUS Challenge/Response 身份验证。 用户在输入其用户名和密码时必须拥有 MFA 代码。或者,您必须使用执行 MFA 的解决方案, out-of-band例如对用户进行 SMS 文本验证。在 out-of-band MFA 解决方案中,必须确保为您的解决方案正确设置 RADIUS 超时值。使用 out-of-band MFA 解决方案时,登录页面将提示用户输入 MFA 代码。在这种情况下,最佳做法是让用户在密码字段和 MFA 字段中均输入密码。 **端口**: RADIUS 服务器用来通信的端口。您的本地网络必须允许服务器通过默认 RADIUS 服务器端口 (UDP: 1812) 的入站流量。 Directory Service **Shared secret code** 在创建 RADIUS 终端节点时指定的共享密码。 **Confirm shared secret code (确认共享密码)** 确认您的 RADIUS 终端节点的共享密码。 **协议** 选择在创建 RADIUS 终端节点时指定的协议。 **服务器超时(以秒为单位)** 等待 RADIUS 服务器响应的时间长度 (以秒为单位)。此值必须介于 1 和 50 之间。 **RADIUS 请求最大重试次数** 将尝试与 RADIUS 服务器通信的次数。此值必须介于 0 和 10 之间。 当 **RADIUS Status** 更改为 **Enabled** 时,多重验证将可用。 1. 请选择**启用**。