Sección de DirectoryService - AWS ParallelCluster
Propiedades de DirectoryService

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Sección de DirectoryService

nota

Support for DirectoryService se agregó en AWS ParallelCluster versión 3.1.1.

(Opcional) La configuración del servicio de directorio para un clúster que admite el acceso de varios usuarios.

AWS ParallelCluster administra los permisos que permiten el acceso de varios usuarios a los clústeres con un Active Directory (AD) a través del Protocolo ligero de acceso a directorios (LDAP) compatible con el Daemon de los Servicios de Seguridad del Sistema (SSSD). Para obtener más información, consulte ¿Qué es AWS Directory Service? en el AWS Directory Service Guía de administración.

Le recomendamos que utilice LDAP más deTLS/SSL(abreviado como abreviado) LDAPS para garantizar que cualquier información potencialmente confidencial se transmita a través de canales cifrados.

DirectoryService:
  DomainName: string
  DomainAddr: string
  PasswordSecretArn: string
  DomainReadOnlyUser: string
  LdapTlsCaCert: string
  LdapTlsReqCert: string
  LdapAccessFilter: string
  GenerateSshKeysForUsers: boolean
  AdditionalSssdConfigs: dict

Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.

Propiedades de DirectoryService

nota

Si planea usar AWS ParallelCluster en una sola subred sin acceso a Internet, consulte AWS ParallelCluster en una sola subred sin acceso a Internet para conocer los requisitos adicionales.

DomainName (Requerido, String)

El dominio de Active Directory (AD) que utiliza para la información de identidad.

DomainNameacepta los formatos de nombre de dominio completo (FQDN) y nombre LDAP distintivo (DN).

  • FQDNejemplo: corp.example.com

  • LDAPEjemplo de ADN: DC=corp,DC=example,DC=com

Esta propiedad corresponde al parámetro sssd-ldap que se llama. ldap_search_base

Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.

DomainAddr (Requerido, String)

El URI o URIs aquel que apuntan al controlador de dominio de AD que se utiliza como LDAP servidor. El URI corresponde al LDAP parámetro SSSD - al que se llamaldap_uri. El valor puede ser una cadena separada por comas deURIs. Para usarloLDAP, debe agregarlo ldap:// al principio de cada unoURI.

Valores de ejemplo:

ldap://192.0.2.0,ldap://203.0.113.0          # LDAP
ldaps://192.0.2.0,ldaps://203.0.113.0        # LDAPS without support for certificate verification
ldaps://abcdef01234567890.corp.example.com  # LDAPS with support for certificate verification
192.0.2.0,203.0.113.0                        # AWS ParallelCluster uses LDAPS by default

Si lo usa LDAPS con la verificación de certificados, URIs deben ser nombres de host.

Si los usa LDAPS sin verificación de certificado o LDAP URIs pueden ser nombres de host o direcciones IP.

Utilice LDAP más deTLS/SSL(LDAPS) para evitar la transmisión de contraseñas y otra información confidencial a través de canales no cifrados. Si AWS ParallelCluster no encuentra un protocolo, sino que lo añade ldaps:// al principio de cada uno de ellos URI o del nombre de host.

Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.

PasswordSecretArn (Requerido, String)

El nombre del recurso de Amazon (ARN) del AWS Secrets Manager secreto que contiene la contraseña en DomainReadOnlyUser texto simple. El contenido del secreto corresponde al LDAP parámetro al SSSD que se llamaldap_default_authtok.

nota

Al crear un secreto mediante el AWS Secrets Manager consola asegúrese de seleccionar «Otro tipo de secreto», seleccionar texto sin formato e incluir solo el texto de la contraseña en el secreto.

Para obtener más información sobre cómo usar AWS Secrets Manager para crear un secreto, consulta Crear un AWS Secrets Manager Secreto

El LDAP cliente usa la contraseña para autenticarse en el dominio de AD DomainReadOnlyUser cuando solicita información de identidad.

Si el usuario tiene el permiso para DescribeSecret, se valida PasswordSecretArn. PasswordSecretArn es válido si el secreto especificado existe. Si la IAM política de usuario no la incluyeDescribeSecret, PasswordSecretArn no se valida y se muestra un mensaje de advertencia. Para obtener más información, consulte Política de usuario básica pcluster de AWS ParallelCluster.

Cuando el valor del secreto cambia, el clúster no se actualiza automáticamente. Para actualizar el clúster para el nuevo valor secreto, debe detener la flota de computación con el comando pcluster update-compute-fleet y, luego, ejecutar el siguiente comando desde dentro del nodo principal.

$ sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh

Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.

DomainReadOnlyUser (Requerido, String)

La identidad que se usa para consultar la información de identidad en el dominio de AD al autenticar los inicios de sesión de los usuarios del clúster. Corresponde al SSSD LDAP parámetro al que se llamaldap_default_bind_dn. Use su información de identidad de AD para este valor.

Especifique la identidad en el formulario requerido por el LDAP cliente específico que se encuentra en el nodo:

  • Microsoft AD:

    cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com

  • SimpleAD:

    cn=ReadOnlyUser,cn=Users,dc=corp,dc=example,dc=com

Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.

LdapTlsCaCert (Opcional, String)

La ruta absoluta a un paquete de certificados que contiene los certificados de cada entidad emisora de certificados de la cadena de certificación que emitió un certificado para los controladores de dominio. Corresponde al LDAP parámetro SSSD - al que se llamaldap_tls_cacert.

Un paquete de certificados es un archivo compuesto por la concatenación de distintos certificados en un PEM formato, también conocido como formato DER Base64 en Windows. Se utiliza para comprobar la identidad del controlador de dominio de AD que actúa como servidor. LDAP

AWS ParallelCluster no es responsable de la colocación inicial de los certificados en los nodos. Como administrador del clúster, puede configurar el certificado en el nodo principal manualmente después de crear el clúster o puede utilizar un script de arranque. Como alternativa, puede utilizar una Amazon Machine Image (AMI) que incluya el certificado configurado en el nodo principal.

Simple AD no proporciona LDAPS soporte. Para obtener información sobre cómo integrar un directorio de Simple AD con AWS ParallelCluster, consulte Cómo configurar un LDAPS punto final para Simple AD en AWS Blog de seguridad.

Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.

LdapTlsReqCert (Opcional, String)

Especifica qué comprobaciones se deben realizar en los certificados de servidor en una TLS sesión. Corresponde al SSSD LDAP parámetro al que se llamaldap_tls_reqcert.

Valores válidos: never, allow, try, demand y hard.

neverallow, y try permiten que las conexiones continúen aunque se detecten problemas con los certificados.

demandy hard permita que la comunicación continúe si no se detecta ningún problema con los certificados.

Si el administrador del clúster utiliza un valor que no requiere que la validación del certificado se realice correctamente, se le devuelve un mensaje de advertencia. Por motivos de seguridad, recomendamos que no inhabilite la verificación de certificados.

El valor predeterminado es hard.

Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.

LdapAccessFilter (Opcional, String)

Especifica un filtro para limitar el acceso al directorio a un subconjunto de usuarios. Esta propiedad corresponde al LDAP parámetro SSSD - al que se llamaldap_access_filter. Puede usarla para limitar las consultas a un AD que admita un gran número de usuarios.

Este filtro puede bloquear el acceso de los usuarios al clúster. Sin embargo, no afecta a la capacidad de detección de los usuarios bloqueados.

Si se establece esta propiedad, el SSSD parámetro access_provider se establece ldap internamente mediante AWS ParallelCluster y no debe modificarse mediante la AdditionalSssdConfigsconfiguración DirectoryService/.

Si se omite esta propiedad y el acceso personalizado de los usuarios no se especifica en DirectoryService/AdditionalSssdConfigs, todos los usuarios del directorio pueden acceder al clúster.

Ejemplos:

"!(cn=SomeUser*)"  # denies access to every user with alias starting with "SomeUser"
"(cn=SomeUser*)"   # allows access to every user with alias starting with "SomeUser"
"memberOf=cn=TeamOne,ou=Users,ou=CORP,dc=corp,dc=example,dc=com" # allows access only to users in group "TeamOne".

Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.

GenerateSshKeysForUsers (Opcional, Boolean)

Define si AWS ParallelCluster genera una SSH clave para los usuarios del clúster inmediatamente después de su autenticación inicial en el nodo principal.

Si se establece entrue, se genera una SSH clave y se guarda para USER_HOME_DIRECTORY/.ssh/id_rsa cada usuario después de su primera autenticación en el nodo principal, si no existe.

En el caso de un usuario que aún no se ha autenticado en el nodo principal, la primera autenticación se puede realizar en los siguientes casos:

  • El usuario inicia sesión en el nodo principal por primera vez con su propia contraseña.

  • En el nodo principal, un sudoer cambia al usuario por primera vez: su USERNAME

  • En el nodo principal, un sudoer ejecuta un comando como usuario por primera vez: su -u USERNAME COMMAND

Los usuarios pueden usar la SSH clave para iniciar sesión posteriormente en el nodo principal del clúster y en los nodos de cómputo. Con AWS ParallelCluster, los inicios de sesión con contraseña en los nodos de cómputo del clúster están deshabilitados por diseño. Si un usuario no ha iniciado sesión en el nodo principal, SSH las claves no se generan y el usuario no podrá iniciar sesión en los nodos de cálculo.

El valor predeterminado es true.

Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.

AdditionalSssdConfigs (Opcional, Dict)

Un diccionario de pares clave-valor que contiene SSSD parámetros y valores para escribirlos en el archivo de SSSD configuración de las instancias del clúster. Para obtener una descripción completa del archivo de SSSD configuración, consulta las páginas de manual de la instancia SSSD y los archivos de configuración relacionados.

Los SSSD parámetros y valores deben ser compatibles con AWS ParallelCluster tal SSSD como se describe en la siguiente lista.

Los siguientes fragmentos de configuración son ejemplos de configuraciones válidas para. AdditionalSssdConfigs

En este ejemplo, se habilita el nivel de depuración de SSSD los registros, se restringe la base de búsqueda a una unidad organizativa específica y se desactiva el almacenamiento en caché de las credenciales.

DirectoryService:
  ...
  AdditionalSssdConfigs:
    debug_level: "0xFFF0"
    ldap_search_base: OU=Users,OU=CORP,DC=corp,DC=example,DC=com
    cache_credentials: False

En este ejemplo se especifica la configuración de un. SSSD simpleaccess_provider Los usuarios del EngineeringTeam tienen acceso al directorio. DirectoryService/no LdapAccessFilterdebe configurarse en este caso.

DirectoryService:
  ...
  AdditionalSssdConfigs:
    access_provider: simple
    simple_allow_groups: EngineeringTeam

Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.