DirectoryService Section - AWS ParallelCluster
Propriétés de DirectoryService

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

DirectoryService Section

Note

Support pour DirectoryService a été ajouté dans la AWS ParallelCluster version 3.1.1.

(Facultatif) Les paramètres du service d'annuaire pour un cluster qui prend en charge l'accès de plusieurs utilisateurs.

AWS ParallelCluster gère les autorisations qui prennent en charge l'accès de plusieurs utilisateurs aux clusters avec un Active Directory (AD) via le protocole LDAP (Lightweight Directory Access Protocol) pris en charge par le démon des services de sécurité du système (SSSD). Pour plus d'informations, consultez Qu'est-ce qu' AWS Directory Service ? dans le Guide de l'utilisateur AWS Directory Service .

Nous vous recommandons d'utiliser le protocole LDAP sur TLS/SSL (LDAPS en abrégé) pour garantir que toutes les informations potentiellement sensibles sont transmises via des canaux cryptés.

DirectoryService:
  DomainName: string
  DomainAddr: string
  PasswordSecretArn: string
  DomainReadOnlyUser: string
  LdapTlsCaCert: string
  LdapTlsReqCert: string
  LdapAccessFilter: string
  GenerateSshKeysForUsers: boolean
  AdditionalSssdConfigs: dict

Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié en vue d'une mise à jour.

Propriétés de DirectoryService

Note

Si vous prévoyez de l'utiliser AWS ParallelCluster dans un seul sous-réseau sans accès à Internet, consultez AWS ParallelCluster dans un seul sous-réseau sans accès à Internet les exigences supplémentaires.

DomainName(Obligatoire,String)

Le domaine Active Directory (AD) que vous utilisez pour les informations d'identité.

DomainNameaccepte à la fois les formats de nom de domaine complet (FQDN) et de nom distinctif LDAP (DN).

  • Exemple de FQDN : corp.example.com

  • Exemple de DN LDAP : DC=corp,DC=example,DC=com

Cette propriété correspond au paramètre sssd-ldap appelé. ldap_search_base

Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié en vue d'une mise à jour.

DomainAddr(Obligatoire,String)

L'URI ou URIs qui pointe vers le contrôleur de domaine AD utilisé comme serveur LDAP. L'URI correspond au paramètre SSSD-LDAP appelé. ldap_uri La valeur peut être une chaîne séparée par des virgules de URIs. Pour utiliser LDAP, vous devez ajouter des ldap:// éléments au début de chaque URI.

Exemples de valeur :

ldap://192.0.2.0,ldap://203.0.113.0          # LDAP
ldaps://192.0.2.0,ldaps://203.0.113.0        # LDAPS without support for certificate verification
ldaps://abcdef01234567890.corp.example.com  # LDAPS with support for certificate verification
192.0.2.0,203.0.113.0                        # AWS ParallelCluster uses LDAPS by default

Si vous utilisez LDAPS avec vérification des certificats, URIs il doit s'agir de noms d'hôtes.

Si vous utilisez LDAPS sans vérification de certificat ni LDAP, il URIs peut s'agir de noms d'hôtes ou d'adresses IP.

Utilisez le protocole LDAP sur TLS/SSL (LDAPS) pour éviter la transmission de mots de passe et d'autres informations sensibles sur des canaux non chiffrés. S'il AWS ParallelCluster ne trouve aucun protocole, il s'ajoute ldaps:// au début de chaque URI ou nom d'hôte.

Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié en vue d'une mise à jour.

PasswordSecretArn(Obligatoire,String)

L'Amazon Resource Name (ARN) du AWS Secrets Manager secret qui contient le mot de passe en DomainReadOnlyUser texte clair. Le contenu du secret correspond au paramètre SSSD-LDAP appelé. ldap_default_authtok

Note

Lorsque vous créez un secret à l'aide de la AWS Secrets Manager console, assurez-vous de sélectionner « Autre type de secret », de sélectionner du texte brut et d'inclure uniquement le texte du mot de passe dans le secret.

Pour plus d'informations sur la façon de AWS Secrets Manager créer un secret, reportez-vous à la section Créer un AWS Secrets Manager secret

Le client LDAP utilise le mot de passe pour s'authentifier auprès du domaine AD DomainReadOnlyUser lorsqu'il demande des informations d'identité.

Si l'utilisateur est autorisé à le faire DescribeSecret, PasswordSecretArn est validé. PasswordSecretArnest valide si le secret spécifié existe. Si la politique IAM de l'utilisateur n'inclut pasDescribeSecret, PasswordSecretArn n'est pas validée et un message d'avertissement s'affiche. Pour de plus amples informations, veuillez consulter Politique AWS ParallelCluster pcluster utilisateur de base.

Lorsque la valeur du secret change, le cluster n'est pas automatiquement mis à jour. Pour mettre à jour le cluster en fonction de la nouvelle valeur secrète, vous devez arrêter le parc de calcul à l'aide de la pcluster update-compute-fleet commande, puis exécuter la commande suivante depuis le nœud principal.

$ sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh

Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié en vue d'une mise à jour.

DomainReadOnlyUser(Obligatoire,String)

Identité utilisée pour interroger le domaine AD pour obtenir des informations d'identité lors de l'authentification des connexions des utilisateurs du cluster. Il correspond au paramètre SSSD-LDAP appelé. ldap_default_bind_dn Utilisez vos informations d'identité AD pour cette valeur.

Spécifiez l'identité sous la forme requise par le client LDAP spécifique qui se trouve sur le nœud :

  • Microsoft AD :

    cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com

  • Propulsation simple :

    cn=ReadOnlyUser,cn=Users,dc=corp,dc=example,dc=com

Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié en vue d'une mise à jour.

LdapTlsCaCert(Facultatif,String)

Le chemin absolu vers un ensemble de certificats contenant les certificats de chaque autorité de certification de la chaîne de certification qui a émis un certificat pour les contrôleurs de domaine. Il correspond au paramètre SSSD-LDAP appelé. ldap_tls_cacert

Un bundle de certificats est un fichier composé de la concaténation de certificats distincts au format PEM, également connu sous le nom de format DER Base64 sous Windows. Il est utilisé pour vérifier l'identité du contrôleur de domaine AD qui agit en tant que serveur LDAP.

AWS ParallelCluster n'est pas responsable du placement initial des certificats sur les nœuds. En tant qu'administrateur du cluster, vous pouvez configurer le certificat dans le nœud principal manuellement une fois le cluster créé ou vous pouvez utiliser un script bootstrap. Vous pouvez également utiliser une Amazon Machine Image (AMI) qui inclut le certificat configuré sur le nœud principal.

Simple AD ne fournit pas de support LDAPS. Pour savoir comment intégrer un annuaire Simple AD à AWS ParallelCluster, consultez Comment configurer un point de terminaison LDAPS pour Simple AD dans le blog sur la AWS sécurité.

Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié en vue d'une mise à jour.

LdapTlsReqCert(Facultatif,String)

Spécifie les contrôles à effectuer sur les certificats de serveur dans une session TLS. Il correspond au paramètre SSSD-LDAP appelé. ldap_tls_reqcert

Valeurs valides : never, allow, try, demand et hard.

neverallow, et try autorisez les connexions à poursuivre même si des problèmes liés aux certificats sont détectés.

demandet hard autorisez la poursuite de la communication si aucun problème lié aux certificats n'est détecté.

Si l'administrateur du cluster utilise une valeur qui ne nécessite pas la validation du certificat pour réussir, un message d'avertissement lui est renvoyé. Pour des raisons de sécurité, nous vous recommandons de ne pas désactiver la vérification des certificats.

La valeur par défaut est hard.

Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié en vue d'une mise à jour.

LdapAccessFilter(Facultatif,String)

Spécifie un filtre pour limiter l'accès au répertoire à un sous-ensemble d'utilisateurs. Cette propriété correspond au paramètre SSSD-LDAP appelé. ldap_access_filter Vous pouvez l'utiliser pour limiter les requêtes à un AD qui prend en charge un grand nombre d'utilisateurs.

Ce filtre peut bloquer l'accès des utilisateurs au cluster. Cependant, cela n'a aucune incidence sur la détectabilité des utilisateurs bloqués.

Si cette propriété est définie, le paramètre SSSD access_provider est défini en ldap interne par AWS ParallelCluster et ne doit pas être modifié par DirectoryService/AdditionalSssdConfigssettings.

Si cette propriété est omise et que l'accès utilisateur personnalisé n'est pas spécifié dans DirectoryService/AdditionalSssdConfigs, tous les utilisateurs de l'annuaire peuvent accéder au cluster.

Exemples :

"!(cn=SomeUser*)"  # denies access to every user with alias starting with "SomeUser"
"(cn=SomeUser*)"   # allows access to every user with alias starting with "SomeUser"
"memberOf=cn=TeamOne,ou=Users,ou=CORP,dc=corp,dc=example,dc=com" # allows access only to users in group "TeamOne".

Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié en vue d'une mise à jour.

GenerateSshKeysForUsers(Facultatif,Boolean)

Définit si AWS ParallelCluster une clé SSH est générée pour les utilisateurs du cluster immédiatement après leur authentification initiale sur le nœud principal.

Si ce paramètre est défini surtrue, une clé SSH est générée et enregistréeUSER_HOME_DIRECTORY/.ssh/id_rsa, si elle n'existe pas, pour chaque utilisateur après sa première authentification sur le nœud principal.

Pour un utilisateur qui n'a pas encore été authentifié sur le nœud principal, la première authentification peut avoir lieu dans les cas suivants :

  • L'utilisateur se connecte au nœud principal pour la première fois avec son propre mot de passe.

  • Dans le nœud principal, un sudoer passe pour la première fois à l'utilisateur : su USERNAME

  • Dans le nœud principal, un sudoer exécute une commande en tant qu'utilisateur pour la première fois : su -u USERNAME COMMAND

Les utilisateurs peuvent utiliser la clé SSH pour les connexions suivantes au nœud principal du cluster et aux nœuds de calcul. Avec AWS ParallelCluster, les connexions par mot de passe aux nœuds de calcul du cluster sont désactivées par conception. Si un utilisateur ne s'est pas connecté au nœud principal, les clés SSH ne sont pas générées et l'utilisateur ne pourra pas se connecter aux nœuds de calcul.

L’argument par défaut est true.

Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié en vue d'une mise à jour.

AdditionalSssdConfigs(Facultatif,Dict)

Un dict de paires clé-valeur contenant des paramètres SSSD et des valeurs à écrire dans le fichier de configuration SSSD sur les instances de cluster. Pour une description complète du fichier de configuration SSSD, consultez les pages de manuel sur instance SSSD et les fichiers de configuration associés.

Les paramètres et valeurs SSSD doivent être compatibles avec AWS ParallelCluster la configuration SSSD décrite dans la liste suivante.

Les extraits de configuration suivants sont des exemples de configurations valides pour. AdditionalSssdConfigs

Cet exemple active le niveau de débogage pour les journaux SSSD, restreint la base de recherche à une unité organisationnelle spécifique et désactive la mise en cache des informations d'identification.

DirectoryService:
  ...
  AdditionalSssdConfigs:
    debug_level: "0xFFF0"
    ldap_search_base: OU=Users,OU=CORP,DC=corp,DC=example,DC=com
    cache_credentials: False

Cet exemple indique la configuration d'un SSSD. simpleaccess_provider Les utilisateurs du EngineeringTeam ont accès à l'annuaire. DirectoryService/ne LdapAccessFilterdoit pas être défini dans ce cas.

DirectoryService:
  ...
  AdditionalSssdConfigs:
    access_provider: simple
    simple_allow_groups: EngineeringTeam

Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié en vue d'une mise à jour.