Sección de DirectoryService - AWS ParallelCluster
Propiedades de DirectoryService

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Sección de DirectoryService

nota

El soporte para DirectoryService se agregó en la AWS ParallelCluster versión 3.1.1.

(Opcional) La configuración del servicio de directorio para un clúster que admite el acceso de varios usuarios.

AWS ParallelCluster administra los permisos que permiten el acceso de varios usuarios a los clústeres con un Active Directory (AD) mediante el Protocolo ligero de acceso a directorios (LDAP) compatible con el Demonio de Servicios de Seguridad del Sistema (SSSD). Para obtener más información, consulte What is AWS Directory Service? ¿Qué es AWS Directory Service? en la Guía de administración de AWS Directory Service .

Le recomendamos que utilice LDAP en lugar de TLS/SSL (abreviado LDAPS) para garantizar que cualquier información potencialmente confidencial se transmita a través de canales cifrados.

DirectoryService:
  DomainName: string
  DomainAddr: string
  PasswordSecretArn: string
  DomainReadOnlyUser: string
  LdapTlsCaCert: string
  LdapTlsReqCert: string
  LdapAccessFilter: string
  GenerateSshKeysForUsers: boolean
  AdditionalSssdConfigs: dict

Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.

Propiedades de DirectoryService

nota

Si planea utilizarlos AWS ParallelCluster en una sola subred sin acceso a Internet, consulte los requisitos adicionales. AWS ParallelCluster en una sola subred sin acceso a Internet

DomainName (Requerido, String)

El dominio de Active Directory (AD) que utiliza para la información de identidad.

DomainNameacepta los formatos de nombre de dominio completo (FQDN) y nombre de dominio completo (DN).

  • Ejemplo de FQDN: corp.example.com

  • Ejemplo de DN de LDAP: DC=corp,DC=example,DC=com

Esta propiedad corresponde al parámetro sssd-ldap que se llama. ldap_search_base

Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.

DomainAddr (Requerido, String)

El URI o los URIs que apuntan al controlador de dominio de AD que se utiliza como servidor LDAP. El URI corresponde al parámetro SSSD-LDAP al que se llama. ldap_uri El valor puede ser una cadena separada por comas de. URIs Para usar LDAP, debe agregarlo ldap:// al principio de cada URI.

Valores de ejemplo:

ldap://192.0.2.0,ldap://203.0.113.0          # LDAP
ldaps://192.0.2.0,ldaps://203.0.113.0        # LDAPS without support for certificate verification
ldaps://abcdef01234567890.corp.example.com  # LDAPS with support for certificate verification
192.0.2.0,203.0.113.0                        # AWS ParallelCluster uses LDAPS by default

Si usa LDAPS con verificación de certificados, URIs deben ser nombres de host.

Si utiliza LDAPS sin verificación de certificado o LDAP, URIs pueden ser nombres de host o direcciones IP.

Utilice LDAP sobre TLS/SSL (LDAPS) para evitar la transmisión de contraseñas y otra información confidencial a través de canales no cifrados. Si AWS ParallelCluster no encuentra un protocolo, lo añade ldaps:// al principio de cada URI o nombre de host.

Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.

PasswordSecretArn (Requerido, String)

El nombre de recurso de Amazon (ARN) del AWS Secrets Manager secreto que contiene la contraseña en texto DomainReadOnlyUser simple. El contenido del secreto corresponde al parámetro SSSD-LDAP al que se llama. ldap_default_authtok

nota

Al crear un secreto con la AWS Secrets Manager consola, asegúrese de seleccionar «Otro tipo de secreto», seleccionar texto sin formato e incluir solo el texto de la contraseña en el secreto.

Para obtener más información sobre cómo AWS Secrets Manager crear un secreto, consulta Crear un AWS Secrets Manager secreto

El cliente LDAP usa la contraseña para autenticarse en el dominio AD cuando solicita información de identidad. DomainReadOnlyUser

Si el usuario tiene el permiso para DescribeSecret, se valida PasswordSecretArn. PasswordSecretArn es válido si el secreto especificado existe. Si la política de IAM del usuario no la incluye DescribeSecret, PasswordSecretArn no está validada y aparece un mensaje de advertencia. Para obtener más información, consulte Política de usuario básica pcluster de AWS ParallelCluster.

Cuando el valor del secreto cambia, el clúster no se actualiza automáticamente. Para actualizar el clúster para el nuevo valor secreto, debe detener la flota de computación con el comando pcluster update-compute-fleet y, luego, ejecutar el siguiente comando desde dentro del nodo principal.

$ sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh

Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.

DomainReadOnlyUser (Requerido, String)

La identidad que se usa para consultar la información de identidad en el dominio de AD al autenticar los inicios de sesión de los usuarios del clúster. Corresponde al parámetro SSSD-LDAP al que se llama. ldap_default_bind_dn Use su información de identidad de AD para este valor.

Especifique la identidad en el formulario requerido por el cliente LDAP específico que se encuentra en el nodo:

  • Microsoft AD:

    cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com

  • SimpleAD:

    cn=ReadOnlyUser,cn=Users,dc=corp,dc=example,dc=com

Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.

LdapTlsCaCert (Opcional, String)

La ruta absoluta a un paquete de certificados que contiene los certificados de cada entidad emisora de certificados de la cadena de certificación que emitió un certificado para los controladores de dominio. Corresponde al parámetro SSSD-LDAP que se llama. ldap_tls_cacert

Un paquete de certificados es un archivo compuesto por la concatenación de distintos certificados en formato PEM, también conocido como formato DER Base64 en Windows. Se utiliza para comprobar la identidad del controlador de dominio de AD que actúa como servidor LDAP.

AWS ParallelCluster no es responsable de la colocación inicial de los certificados en los nodos. Como administrador del clúster, puede configurar el certificado en el nodo principal manualmente después de crear el clúster o puede utilizar un script de arranque. También puede utilizar una Imagen de máquina de Amazon (AMI) que incluya el certificado configurado en el nodo principal.

Simple AD no admite LDAPS. Para obtener información sobre cómo integrar un directorio AD simple con AWS ParallelCluster, consulte Cómo configurar un punto final LDAPS para AD simple en el blog de AWS seguridad.

Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.

LdapTlsReqCert (Opcional, String)

Especifica qué comprobaciones se deben realizar en los certificados de servidor en una sesión de TLS. Corresponde al parámetro SSSD-LDAP que se llama. ldap_tls_reqcert

Valores válidos: never, allow, try, demand y hard.

neverallow, y try permiten que las conexiones continúen aunque se detecten problemas con los certificados.

demandy hard permita que la comunicación continúe si no se detecta ningún problema con los certificados.

Si el administrador del clúster utiliza un valor que no requiere que la validación del certificado se realice correctamente, se le devuelve un mensaje de advertencia. Por motivos de seguridad, recomendamos que no inhabilite la verificación de certificados.

El valor predeterminado es hard.

Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.

LdapAccessFilter (Opcional, String)

Especifica un filtro para limitar el acceso al directorio a un subconjunto de usuarios. Esta propiedad corresponde al parámetro SSSD-LDAP que se llama. ldap_access_filter Puede usarla para limitar las consultas a un AD que admita un gran número de usuarios.

Este filtro puede bloquear el acceso de los usuarios al clúster. Sin embargo, no afecta a la capacidad de detección de los usuarios bloqueados.

Si se establece esta propiedad, el parámetro SSSD access_provider se establece ldap internamente mediante la configuración DirectoryService/ AWS ParallelCluster AdditionalSssdConfigsy no se debe modificar mediante ella.

Si se omite esta propiedad y el acceso personalizado de los usuarios no se especifica en DirectoryService/AdditionalSssdConfigs, todos los usuarios del directorio pueden acceder al clúster.

Ejemplos:

"!(cn=SomeUser*)"  # denies access to every user with alias starting with "SomeUser"
"(cn=SomeUser*)"   # allows access to every user with alias starting with "SomeUser"
"memberOf=cn=TeamOne,ou=Users,ou=CORP,dc=corp,dc=example,dc=com" # allows access only to users in group "TeamOne".

Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.

GenerateSshKeysForUsers (Opcional, Boolean)

Define si se AWS ParallelCluster genera una clave SSH para los usuarios del clúster inmediatamente después de su autenticación inicial en el nodo principal.

Si se establece entrue, se genera una clave SSH y se guardaUSER_HOME_DIRECTORY/.ssh/id_rsa, si no existe, para cada usuario tras su primera autenticación en el nodo principal.

En el caso de un usuario que aún no se ha autenticado en el nodo principal, la primera autenticación se puede realizar en los siguientes casos:

  • El usuario inicia sesión en el nodo principal por primera vez con su propia contraseña.

  • En el nodo principal, un sudoer cambia al usuario por primera vez: su USERNAME

  • En el nodo principal, un sudoer ejecuta un comando como usuario por primera vez: su -u USERNAME COMMAND

Los usuarios pueden usar la clave SSH para iniciar sesión posteriormente en el nodo principal del clúster y en los nodos de cómputo. Con AWS ParallelCluster, los inicios de sesión con contraseña en los nodos de cómputo del clúster están deshabilitados por diseño. Si un usuario no ha iniciado sesión en el nodo principal, las claves SSH no se generan y el usuario no podrá iniciar sesión en los nodos de cálculo.

El valor predeterminado es true.

Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.

AdditionalSssdConfigs (Opcional, Dict)

Un diccionario de pares clave-valor que contiene parámetros y valores de SSSD para escribirlos en el archivo de configuración de SSSD en las instancias del clúster. Para obtener una descripción completa del archivo de configuración de SSSD, consulte las páginas del manual de la instancia para SSSD y los archivos de configuración relacionados.

Los parámetros y valores del SSSD deben ser compatibles con la configuración AWS ParallelCluster del SSSD, tal y como se describe en la siguiente lista.

Los siguientes fragmentos de configuración son ejemplos de configuraciones válidas para. AdditionalSssdConfigs

En este ejemplo, se habilita el nivel de depuración de los registros SSSD, se restringe la base de búsqueda a una unidad organizativa específica y se deshabilita el almacenamiento en caché de las credenciales.

DirectoryService:
  ...
  AdditionalSssdConfigs:
    debug_level: "0xFFF0"
    ldap_search_base: OU=Users,OU=CORP,DC=corp,DC=example,DC=com
    cache_credentials: False

En este ejemplo se especifica la configuración de un access_provider simple SSSD. Los usuarios del EngineeringTeam tienen acceso al directorio. DirectoryService/no LdapAccessFilterdebe configurarse en este caso.

DirectoryService:
  ...
  AdditionalSssdConfigs:
    access_provider: simple
    simple_allow_groups: EngineeringTeam

Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.