DirectoryService Section - AWS ParallelCluster
Propriétés de DirectoryService

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

DirectoryService Section

Note

Support pour DirectoryService a été ajouté dans la AWS ParallelCluster version 3.1.1.

(Facultatif) Les paramètres du service d'annuaire pour un cluster qui prend en charge l'accès de plusieurs utilisateurs.

AWS ParallelCluster gère les autorisations qui permettent l'accès de plusieurs utilisateurs aux clusters avec un Active Directory (AD) via le Lightweight Directory Access Protocol (LDAP) pris en charge par le démon des services de sécurité du système (SSSD). Pour plus d'informations, consultez Qu'est-ce qu' AWS Directory Service ? dans le Guide de l'utilisateur AWS Directory Service .

Nous vous recommandons d'utiliser LDAP overTLS/SSL(abrégé en abrégé) LDAPS pour vous assurer que toutes les informations potentiellement sensibles sont transmises via des canaux cryptés.

DirectoryService:
  DomainName: string
  DomainAddr: string
  PasswordSecretArn: string
  DomainReadOnlyUser: string
  LdapTlsCaCert: string
  LdapTlsReqCert: string
  LdapAccessFilter: string
  GenerateSshKeysForUsers: boolean
  AdditionalSssdConfigs: dict

Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié pour une mise à jour.

Propriétés de DirectoryService

Note

Si vous prévoyez de l'utiliser AWS ParallelCluster dans un seul sous-réseau sans accès à Internet, consultez AWS ParallelCluster dans un seul sous-réseau sans accès à Internet les exigences supplémentaires.

DomainName(Obligatoire,String)

Le domaine Active Directory (AD) que vous utilisez pour les informations d'identité.

DomainNameaccepte à la fois les formats de nom de domaine complet (FQDN) et de nom LDAP distinctif (DN).

  • FQDNexemple : corp.example.com

  • LDAPExemple de DN : DC=corp,DC=example,DC=com

Cette propriété correspond au paramètre sssd-ldap appelé. ldap_search_base

Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié pour une mise à jour.

DomainAddr(Obligatoire,String)

Le URI ou URIs qui pointe vers le contrôleur de domaine AD utilisé comme LDAP serveur. URICorrespond au LDAP paramètre SSSD - appeléldap_uri. La valeur peut être une chaîne séparée par des virgules deURIs. Pour l'utiliserLDAP, vous devez ldap:// ajouter des éléments au début de chaqueURI.

Exemples de valeur :

ldap://192.0.2.0,ldap://203.0.113.0          # LDAP
ldaps://192.0.2.0,ldaps://203.0.113.0        # LDAPS without support for certificate verification
ldaps://abcdef01234567890.corp.example.com  # LDAPS with support for certificate verification
192.0.2.0,203.0.113.0                        # AWS ParallelCluster uses LDAPS by default

Si vous l'utilisez LDAPS avec la vérification des certificats, URIs il doit s'agir de noms d'hôtes.

Si vous l'utilisez LDAPS sans vérification de certificatLDAP, il URIs peut s'agir de noms d'hôtes ou d'adresses IP.

Utilisez LDAP overTLS/SSL(LDAPS) pour éviter la transmission de mots de passe et d'autres informations sensibles sur des canaux non cryptés. S'il AWS ParallelCluster ne trouve aucun protocole, il s'ajoute ldaps:// au début de chaque nom URI d'hôte.

Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié pour une mise à jour.

PasswordSecretArn(Obligatoire,String)

Le nom de ressource Amazon (ARN) du AWS Secrets Manager secret qui contient le mot de passe en DomainReadOnlyUser texte clair. Le contenu du secret correspond au LDAP paramètre SSSD - appeléldap_default_authtok.

Note

Lorsque vous créez un secret à l'aide de la AWS Secrets Manager console, assurez-vous de sélectionner « Autre type de secret », de sélectionner du texte brut et d'inclure uniquement le texte du mot de passe dans le secret.

Pour plus d'informations sur la façon de AWS Secrets Manager créer un secret, reportez-vous à la section Créer un AWS Secrets Manager secret

Le LDAP client utilise le mot de passe pour s'authentifier auprès du domaine AD DomainReadOnlyUser lorsqu'il demande des informations d'identité.

Si l'utilisateur est autorisé à le faire DescribeSecret, PasswordSecretArn est validé. PasswordSecretArnest valide si le secret spécifié existe. Si la IAM politique utilisateur n'inclut pasDescribeSecret, PasswordSecretArn n'est pas validée et un message d'avertissement s'affiche. Pour de plus amples informations, veuillez consulter Politique AWS ParallelCluster pcluster utilisateur de base.

Lorsque la valeur du secret change, le cluster n'est pas automatiquement mis à jour. Pour mettre à jour le cluster en fonction de la nouvelle valeur secrète, vous devez arrêter le parc de calcul à l'aide de la pcluster update-compute-fleet commande, puis exécuter la commande suivante depuis le nœud principal.

$ sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh

Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié pour une mise à jour.

DomainReadOnlyUser(Obligatoire,String)

Identité utilisée pour interroger le domaine AD pour obtenir des informations d'identité lors de l'authentification des connexions des utilisateurs du cluster. Il correspond au LDAP paramètre SSSD - qui est appeléldap_default_bind_dn. Utilisez vos informations d'identité AD pour cette valeur.

Spécifiez l'identité sous la forme requise par le LDAP client spécifique qui se trouve sur le nœud :

  • Microsoft AD :

    cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com

  • Propulsateur simple :

    cn=ReadOnlyUser,cn=Users,dc=corp,dc=example,dc=com

Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié pour une mise à jour.

LdapTlsCaCert(Facultatif,String)

Le chemin absolu vers un ensemble de certificats contenant les certificats de chaque autorité de certification de la chaîne de certification qui a émis un certificat pour les contrôleurs de domaine. Il correspond au LDAP paramètre SSSD - qui est appeléldap_tls_cacert.

Un bundle de certificats est un fichier composé de la concaténation de certificats distincts PEM au format, également connu sous le nom de format DER Base64 sous Windows. Il est utilisé pour vérifier l'identité du contrôleur de domaine AD qui agit en tant que LDAP serveur.

AWS ParallelCluster n'est pas responsable du placement initial des certificats sur les nœuds. En tant qu'administrateur du cluster, vous pouvez configurer le certificat dans le nœud principal manuellement une fois le cluster créé ou vous pouvez utiliser un script bootstrap. Vous pouvez également utiliser une Amazon Machine Image (AMI) qui inclut le certificat configuré sur le nœud principal.

Simple AD ne fournit pas d'LDAPSassistance. Pour savoir comment intégrer un annuaire Simple AD à AWS ParallelCluster, consultez Comment configurer un LDAPS point de terminaison pour Simple AD dans le blog sur la AWS sécurité.

Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié pour une mise à jour.

LdapTlsReqCert(Facultatif,String)

Spécifie les contrôles à effectuer sur les certificats de serveur au TLS cours d'une session. Il correspond au LDAP paramètre SSSD - qui est appeléldap_tls_reqcert.

Valeurs valides : never, allow, try, demand et hard.

neverallow, et try autorisez les connexions à poursuivre même si des problèmes liés aux certificats sont détectés.

demandet hard autorisez la poursuite de la communication si aucun problème lié aux certificats n'est détecté.

Si l'administrateur du cluster utilise une valeur qui ne nécessite pas la validation du certificat pour réussir, un message d'avertissement lui est renvoyé. Pour des raisons de sécurité, nous vous recommandons de ne pas désactiver la vérification des certificats.

La valeur par défaut est hard.

Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié pour une mise à jour.

LdapAccessFilter(Facultatif,String)

Spécifie un filtre pour limiter l'accès au répertoire à un sous-ensemble d'utilisateurs. Cette propriété correspond au LDAP paramètre SSSD - appeléldap_access_filter. Vous pouvez l'utiliser pour limiter les requêtes à un AD qui prend en charge un grand nombre d'utilisateurs.

Ce filtre peut bloquer l'accès des utilisateurs au cluster. Cependant, cela n'a aucune incidence sur la détectabilité des utilisateurs bloqués.

Si cette propriété est définie, le SSSD paramètre access_provider est défini en ldap interne par AWS ParallelCluster et ne doit pas être modifié par DirectoryService/AdditionalSssdConfigssettings.

Si cette propriété est omise et que l'accès utilisateur personnalisé n'est pas spécifié dans DirectoryService/AdditionalSssdConfigs, tous les utilisateurs de l'annuaire peuvent accéder au cluster.

Exemples :

"!(cn=SomeUser*)"  # denies access to every user with alias starting with "SomeUser"
"(cn=SomeUser*)"   # allows access to every user with alias starting with "SomeUser"
"memberOf=cn=TeamOne,ou=Users,ou=CORP,dc=corp,dc=example,dc=com" # allows access only to users in group "TeamOne".

Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié pour une mise à jour.

GenerateSshKeysForUsers(Facultatif,Boolean)

Définit si une SSH clé est AWS ParallelCluster générée pour les utilisateurs du cluster immédiatement après leur authentification initiale sur le nœud principal.

S'il est défini surtrue, une SSH clé est générée et enregistréeUSER_HOME_DIRECTORY/.ssh/id_rsa, si elle n'existe pas, pour chaque utilisateur après sa première authentification sur le nœud principal.

Pour un utilisateur qui n'a pas encore été authentifié sur le nœud principal, la première authentification peut avoir lieu dans les cas suivants :

  • L'utilisateur se connecte au nœud principal pour la première fois avec son propre mot de passe.

  • Dans le nœud principal, un sudoer passe pour la première fois à l'utilisateur : su USERNAME

  • Dans le nœud principal, un sudoer exécute une commande en tant qu'utilisateur pour la première fois : su -u USERNAME COMMAND

Les utilisateurs peuvent utiliser la SSH clé pour les connexions suivantes au nœud principal du cluster et aux nœuds de calcul. Avec AWS ParallelCluster, les connexions par mot de passe aux nœuds de calcul du cluster sont désactivées par conception. Si un utilisateur ne s'est pas connecté au nœud principal, SSH les clés ne sont pas générées et l'utilisateur ne pourra pas se connecter aux nœuds de calcul.

L’argument par défaut est true.

Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié pour une mise à jour.

AdditionalSssdConfigs(Facultatif,Dict)

Un dict de paires clé-valeur contenant des SSSD paramètres et des valeurs à écrire dans le fichier de SSSD configuration des instances de cluster. Pour une description complète du fichier de SSSD configuration, consultez les pages de manuel relatives à l'instance SSSD et les fichiers de configuration associés.

Les SSSD paramètres et les valeurs doivent être compatibles avec AWS ParallelCluster la SSSD configuration décrite dans la liste suivante.

Les extraits de configuration suivants sont des exemples de configurations valides pour. AdditionalSssdConfigs

Cet exemple active le niveau de débogage pour les SSSD journaux, restreint la base de recherche à une unité organisationnelle spécifique et désactive la mise en cache des informations d'identification.

DirectoryService:
  ...
  AdditionalSssdConfigs:
    debug_level: "0xFFF0"
    ldap_search_base: OU=Users,OU=CORP,DC=corp,DC=example,DC=com
    cache_credentials: False

Cet exemple indique la configuration d'un SSSD simpleaccess_provider. Les utilisateurs du EngineeringTeam ont accès à l'annuaire. DirectoryService/ne LdapAccessFilterdoit pas être défini dans ce cas.

DirectoryService:
  ...
  AdditionalSssdConfigs:
    access_provider: simple
    simple_allow_groups: EngineeringTeam

Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié pour une mise à jour.