對身分驗證問題進行故障診斷 - AWS Transfer Family
身分驗證失敗 - SSH/SFTP Managed AD 不相符領域問題超過 Active Directory 群組限制其他身分驗證問題對 Amazon API Gateway 問題進行故障診斷對測試您的身分提供者進行故障診斷

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

對身分驗證問題進行故障診斷

本節說明下列身分驗證問題的可能解決方案。

身分驗證失敗 - SSH/SFTP

Description

當您嘗試使用 Secure Shell (SSH) 檔案傳輸通訊協定 (SFTP) 連線至伺服器時,您會收到類似以下的訊息:

Received disconnect from 3.130.115.105 port 22:2: Too many authentication failures
  Authentication failed.
注意

如果您使用 API Gateway 並收到此錯誤,請參閱 身分驗證失敗太多

原因

您尚未為使用者新增 RSA 金鑰對,因此您必須改用密碼進行身分驗證。

解決方案

當您執行 sftp命令時,請指定 -o PubkeyAuthentication=no選項。此選項會強制系統請求您的密碼。例如:

sftp -o PubkeyAuthentication=no sftp-user@server-id.server.transfer.region-id.amazonaws.com

Managed AD 不相符領域問題

Description

使用者的領域及其群組領域必須相符。兩者都必須位於預設領域,或兩者都必須位於信任領域。

原因

如果使用者及其群組不相符,則 Transfer Family 無法驗證使用者。如果您測試使用者的身分提供者,您會收到錯誤 找不到與使用者群組相關聯的存取權

解決方案

參考使用者領域中符合群組領域 (預設或信任) 的群組。

超過 Active Directory 群組限制

Description

嘗試將更多 Active Directory 群組新增至 AWS Transfer Family 伺服器時,您會收到錯誤,指出已達到允許的群組數量上限。

原因

AWS Transfer Family 預設限制為每個伺服器 100 個 Active Directory 群組。

解決方案

以下是兩種可能的解決方案:

其他身分驗證問題

Description

您會收到身分驗證錯誤,而且其他故障診斷都無法運作

原因

您可能已指定邏輯目錄的目標,其中包含正斜線或結尾斜線 (/)。

解決方案

更新您的邏輯目錄目標,以確保其開頭為斜線,且不包含結尾斜線。例如, /amzn-s3-demo-bucket/images 是可接受的,但 amzn-s3-demo-bucket/images/amzn-s3-demo-bucket/images/ 是不可接受的。

對 Amazon API Gateway 問題進行故障診斷

本節說明下列 API Gateway 問題的可能解決方案。

身分驗證失敗太多

Description

當您嘗試使用 Secure Shell (SSH) 檔案傳輸通訊協定 (SFTP) 連線至伺服器時,您會收到下列錯誤:

Received disconnect from 3.15.127.197 port 22:2: Too many authentication failures
Authentication failed.
Couldn't read packet: Connection reset by peer

原因

您可能為使用者輸入了不正確的密碼。再次嘗試輸入正確的密碼。

如果密碼正確,問題可能是由於角色 Amazon Resource Name (ARN) 無效所致。若要確認這是問題,請測試您伺服器的身分提供者。如果您看到類似以下的回應,角色 ARN 只是預留位置,如所有零的角色 ID 值所示:

{
    "Response": "{\"Role\": \"arn:aws:iam::000000000000:role/MyUserS3AccessRole\",\"HomeDirectory\": \"/\"}",
    "StatusCode": 200,
    "Message": "",
    "Url": "https://api-gateway-ID.execute-api.us-east-1.amazonaws.com/prod/servers/transfer-server-ID/users/myuser/config"
}

解決方案

將預留位置角色 ARN 取代為具有伺服器存取許可的實際角色。

更新角色

  1. 在 https://https://console.aws.amazon.com/cloudformation 開啟 AWS CloudFormation 主控台。

  2. 在左側導覽窗格中,選擇 Stacks (堆疊)

  3. 堆疊清單中,選擇您的堆疊,然後選擇參數索引標籤。

  4. 選擇更新。在更新堆疊頁面上,選擇使用目前範本,然後選擇下一步

  5. UserRoleArn 取代為具有足夠許可的角色 ARN,以存取 Transfer Family 伺服器。

    注意

    若要授予必要的許可,您可以將 AmazonAPIGatewayAdministratorAmazonS3FullAccess受管政策新增至您的角色。

  6. 選擇下一步,然後再次選擇下一步。在檢閱堆疊頁面上,選取我確認 AWS CloudFormation 可能會建立 IAM 資源,然後選擇更新堆疊

連線已關閉

Description

當您嘗試使用 Secure Shell (SSH) 檔案傳輸通訊協定 (SFTP) 連線至伺服器時,您會收到下列錯誤:

Connection closed

原因

此問題的一個可能原因是您的 Amazon CloudWatch 記錄角色與 Transfer Family 沒有信任關係。

解決方案

請確定伺服器的記錄角色與 Transfer Family 具有信任關係。如需詳細資訊,請參閱建立信任關係

對測試您的身分提供者進行故障診斷

Description

如果您使用 主控台或 TestIdentityProvider API 操作來測試身分提供者,則 Response 欄位為空白。例如:

{
    "Response": "{}",
    "StatusCode": 200,
    "Message": ""
}

原因

最可能的原因是身分驗證因使用者名稱或密碼不正確而失敗。

解決方案

請務必為使用者使用正確的登入資料,並視需要更新使用者名稱或密碼。