Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# `DirectoryService` Section
**Note**
Support pour `DirectoryService` a été ajouté dans la AWS ParallelCluster version 3.1.1.
**(Facultatif)** Les paramètres du service d'annuaire pour un cluster qui prend en charge l'accès de plusieurs utilisateurs.
AWS ParallelCluster gère les autorisations qui prennent en charge l'accès de plusieurs utilisateurs aux clusters avec un Active Directory (AD) via le protocole LDAP (Lightweight Directory Access Protocol) pris en charge par le [démon des services de sécurité du système (SSSD](https://sssd.io/docs/introduction.html)). Pour plus d'informations, voir [Qu'est-ce que c'est AWS Directory Service ?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html) dans le *Guide AWS Directory Service d'administration*.
Nous vous recommandons d'utiliser le protocole LDAP over TLS/SSL (en abrégé LDAPS) pour garantir que toutes les informations potentiellement sensibles sont transmises via des canaux cryptés.
```
DirectoryService:
DomainName: string
DomainAddr: string
PasswordSecretArn: string
DomainReadOnlyUser: string
LdapTlsCaCert: string
LdapTlsReqCert: string
LdapAccessFilter: string
GenerateSshKeysForUsers: boolean
AdditionalSssdConfigs: dict
```
[Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié pour une mise à jour.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
## Propriétés de `DirectoryService`
**Note**
Si vous prévoyez de l'utiliser AWS ParallelCluster dans un seul sous-réseau sans accès à Internet, consultez [AWS ParallelCluster dans un seul sous-réseau sans accès à Internet](aws-parallelcluster-in-a-single-public-subnet-no-internet-v3.md) les exigences supplémentaires.
`DomainName`(**Obligatoire**,`String`)
Le domaine Active Directory (AD) que vous utilisez pour les informations d'identité.
`DomainName`accepte à la fois les formats de nom de domaine complet (FQDN) et de nom distinctif LDAP (DN).
+ Exemple de FQDN : `corp.example.com`
+ Exemple de DN LDAP : `DC=corp,DC=example,DC=com`
Cette propriété correspond au paramètre sssd-ldap appelé. `ldap_search_base`
[Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié pour une mise à jour.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`DomainAddr`(**Obligatoire**,`String`)
L'URI ou URIs qui pointe vers le contrôleur de domaine AD utilisé comme serveur LDAP. L'URI correspond au paramètre SSSD-LDAP appelé. `ldap_uri` La valeur peut être une chaîne séparée par des virgules de URIs. Pour utiliser LDAP, vous devez ajouter des `ldap://` éléments au début de chaque URI.
Exemples de valeur :
```
ldap://192.0.2.0,ldap://203.0.113.0 # LDAP
ldaps://192.0.2.0,ldaps://203.0.113.0 # LDAPS without support for certificate verification
ldaps://abcdef01234567890.corp.example.com # LDAPS with support for certificate verification
192.0.2.0,203.0.113.0 # AWS ParallelCluster uses LDAPS by default
```
Si vous utilisez LDAPS avec vérification des certificats, URIs il doit s'agir de noms d'hôtes.
Si vous utilisez LDAPS sans vérification de certificat ni LDAP, il URIs peut s'agir de noms d'hôtes ou d'adresses IP.
Utilisez LDAP over TLS/SSL (LDAPS) pour éviter la transmission de mots de passe et d'autres informations sensibles sur des canaux non chiffrés. S'il AWS ParallelCluster ne trouve aucun protocole, il s'ajoute `ldaps://` au début de chaque URI ou nom d'hôte.
[Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié pour une mise à jour.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`PasswordSecretArn`(**Obligatoire**,`String`)
L'Amazon Resource Name (ARN) du AWS Secrets Manager secret qui contient le mot de passe en `DomainReadOnlyUser` texte clair. Le contenu du secret correspond au paramètre SSSD-LDAP appelé. `ldap_default_authtok`
Lorsque vous utilisez la AWS Secrets Manager console pour créer un secret, assurez-vous de sélectionner « Autre type de secret », de sélectionner du texte brut et d'inclure uniquement le texte du mot de passe dans le secret.
Pour plus d'informations sur la façon de AWS Secrets Manager créer un secret, reportez-vous à la section [Créer un AWS Secrets Manager secret](https://docs.aws.amazon.com//secretsmanager/latest/userguide/create_secret)
Le client LDAP utilise le mot de passe pour s'authentifier auprès du domaine AD `DomainReadOnlyUser` lorsqu'il demande des informations d'identité.
Si l'utilisateur est autorisé à le faire [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html), `PasswordSecretArn` est validé. `PasswordSecretArn`est valide si le secret spécifié existe. Si la politique IAM de l'utilisateur n'inclut pas`DescribeSecret`, `PasswordSecretArn` n'est pas validée et un message d'avertissement s'affiche. Pour de plus amples informations, veuillez consulter [Politique AWS ParallelCluster `pcluster` utilisateur de base](iam-roles-in-parallelcluster-v3.md#iam-roles-in-parallelcluster-v3-base-user-policy).
Lorsque la valeur du secret change, le cluster *n'est pas* automatiquement mis à jour. Pour mettre à jour le cluster en fonction de la nouvelle valeur secrète, vous devez arrêter le parc de calcul à l'aide de la [`pcluster update-compute-fleet`](pcluster.update-compute-fleet-v3.md) commande, puis exécuter la commande suivante depuis le nœud principal.
```
$ sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh
```
[Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié pour une mise à jour.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`DomainReadOnlyUser`(**Obligatoire**,`String`)
Identité utilisée pour interroger le domaine AD pour obtenir des informations d'identité lors de l'authentification des connexions des utilisateurs du cluster. Il correspond au paramètre SSSD-LDAP appelé. `ldap_default_bind_dn` Utilisez vos informations d'identité AD pour cette valeur.
Spécifiez l'identité sous la forme requise par le client LDAP spécifique qui se trouve sur le nœud :
+ Microsoft AD :
```
cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com
```
+ Propulsateur simple :
```
cn=ReadOnlyUser,cn=Users,dc=corp,dc=example,dc=com
```
[Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié pour une mise à jour.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`LdapTlsCaCert`(**Facultatif**,`String`)
Le chemin absolu vers un ensemble de certificats contenant les certificats de chaque autorité de certification de la chaîne de certification qui a émis un certificat pour les contrôleurs de domaine. Il correspond au paramètre SSSD-LDAP appelé. `ldap_tls_cacert`
Un bundle de certificats est un fichier composé de la concaténation de certificats distincts au format PEM, également appelé format DER Base64 sous Windows. Il est utilisé pour vérifier l'identité du contrôleur de domaine AD qui agit en tant que serveur LDAP.
AWS ParallelCluster n'est pas responsable du placement initial des certificats sur les nœuds. En tant qu'administrateur du cluster, vous pouvez configurer le certificat dans le nœud principal manuellement une fois le cluster créé ou vous pouvez utiliser un [script bootstrap](custom-bootstrap-actions-v3.md). Vous pouvez également utiliser une Amazon Machine Image (AMI) qui inclut le certificat configuré sur le nœud principal.
[Simple AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_simple_ad.html) ne fournit pas de support LDAPS. Pour savoir comment intégrer un annuaire Simple AD à AWS ParallelCluster, consultez [Comment configurer un point de terminaison LDAPS pour Simple AD](https://aws.amazon.com/blogs/security/how-to-configure-ldaps-endpoint-for-simple-ad/) dans le *blog sur la AWS sécurité*.
[Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié pour une mise à jour.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`LdapTlsReqCert`(**Facultatif**,`String`)
Spécifie les contrôles à effectuer sur les certificats de serveur dans une session TLS. Il correspond au paramètre SSSD-LDAP appelé. `ldap_tls_reqcert`
Valeurs valides : `never`, `allow`, `try`, `demand` et `hard`.
`never``allow`, et `try` autorisez les connexions à poursuivre même si des problèmes liés aux certificats sont détectés.
`demand`et `hard` autorisez la poursuite de la communication si aucun problème lié aux certificats n'est détecté.
Si l'administrateur du cluster utilise une valeur qui ne nécessite pas la validation du certificat pour réussir, un message d'avertissement lui est renvoyé. Pour des raisons de sécurité, nous vous recommandons de ne pas désactiver la vérification des certificats.
La valeur par défaut est `hard`.
[Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié pour une mise à jour.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`LdapAccessFilter`(**Facultatif**,`String`)
Spécifie un filtre pour limiter l'accès au répertoire à un sous-ensemble d'utilisateurs. Cette propriété correspond au paramètre SSSD-LDAP appelé. `ldap_access_filter` Vous pouvez l'utiliser pour limiter les requêtes à un AD qui prend en charge un grand nombre d'utilisateurs.
Ce filtre peut bloquer l'accès des utilisateurs au cluster. Cependant, cela n'a aucune incidence sur la détectabilité des utilisateurs bloqués.
Si cette propriété est définie, le paramètre SSSD `access_provider` est défini en `ldap` interne par AWS ParallelCluster et ne doit pas être modifié par [`DirectoryService`](#DirectoryService-v3)/[`AdditionalSssdConfigs`](#yaml-DirectoryService-AdditionalSssdConfigs)settings.
Si cette propriété est omise et que l'accès utilisateur personnalisé n'est pas spécifié dans [`DirectoryService`](#DirectoryService-v3)/[`AdditionalSssdConfigs`](#yaml-DirectoryService-AdditionalSssdConfigs), tous les utilisateurs de l'annuaire peuvent accéder au cluster.
Exemples :
```
"!(cn=SomeUser*)" # denies access to every user with an alias that starts with "SomeUser"
"(cn=SomeUser*)" # allows access to every user with alias that starts with "SomeUser"
"memberOf=cn=TeamOne,ou=Users,ou=CORP,dc=corp,dc=example,dc=com" # allows access only to users in group "TeamOne".
```
[Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié pour une mise à jour.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`GenerateSshKeysForUsers`(**Facultatif**,`Boolean`)
Définit si AWS ParallelCluster une clé SSH est générée pour les utilisateurs du cluster immédiatement après leur authentification initiale sur le nœud principal.
Si ce paramètre est défini sur`true`, une clé SSH est générée et enregistrée`USER_HOME_DIRECTORY/.ssh/id_rsa`, si elle n'existe pas, pour chaque utilisateur après sa première authentification sur le nœud principal.
Pour un utilisateur qui n'a pas encore été authentifié sur le nœud principal, la première authentification peut avoir lieu dans les cas suivants :
+ L'utilisateur se connecte au nœud principal pour la première fois avec son propre mot de passe.
+ Dans le nœud principal, un sudoer passe pour la première fois à l'utilisateur : `su USERNAME`
+ Dans le nœud principal, un sudoer exécute une commande en tant qu'utilisateur pour la première fois : `su -u USERNAME COMMAND`
Les utilisateurs peuvent utiliser la clé SSH pour les connexions suivantes au nœud principal du cluster et aux nœuds de calcul. Avec AWS ParallelCluster, les connexions par mot de passe aux nœuds de calcul du cluster sont désactivées par conception. Si un utilisateur ne s'est pas connecté au nœud principal, les clés SSH ne sont pas générées et l'utilisateur ne pourra pas se connecter aux nœuds de calcul.
La valeur par défaut est `true`.
[Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié pour une mise à jour.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`AdditionalSssdConfigs`(**Facultatif**,`Dict`)
Un dictionnaire de paires clé-valeur contenant des paramètres SSSD et des valeurs à écrire dans le fichier de configuration SSSD sur les instances de cluster. Pour une description complète du fichier de configuration SSSD, consultez les pages de manuel sur instance `SSSD` et les fichiers de configuration associés.
Les paramètres et valeurs SSSD doivent être compatibles avec AWS ParallelCluster la configuration SSSD décrite dans la liste suivante.
+ `id_provider`est défini sur `ldap` interne par AWS ParallelCluster et ne doit pas être modifié.
+ `access_provider`est défini en `ldap` interne AWS ParallelCluster lorsque [`DirectoryService`](#DirectoryService-v3)/[`LdapAccessFilter`](#yaml-DirectoryService-LdapAccessFilter)est spécifié, et ce paramètre ne doit pas être modifié.
Si [`DirectoryService`](#DirectoryService-v3)/[`LdapAccessFilter`](#yaml-DirectoryService-LdapAccessFilter)est omis, sa `access_provider` spécification est également omise. Par exemple, si vous définissez sur `access_provider` `simple` in [`AdditionalSssdConfigs`](#yaml-DirectoryService-AdditionalSssdConfigs), alors [`DirectoryService`](#DirectoryService-v3)/ne [`LdapAccessFilter`](#yaml-DirectoryService-LdapAccessFilter)doit pas être spécifié.
Les extraits de configuration suivants sont des exemples de configurations valides pour. `AdditionalSssdConfigs`
Cet exemple active le niveau de débogage pour les journaux SSSD, restreint la base de recherche à une unité organisationnelle spécifique et désactive la mise en cache des informations d'identification.
```
DirectoryService:
...
AdditionalSssdConfigs:
debug_level: "0xFFF0"
ldap_search_base: OU=Users,OU=CORP,DC=corp,DC=example,DC=com
cache_credentials: False
```
Cet exemple indique la configuration d'un SSSD. [https://www.mankier.com/5/sssd-simple](https://www.mankier.com/5/sssd-simple)`access_provider` Les utilisateurs du `EngineeringTeam` ont accès à l'annuaire. [`DirectoryService`](#DirectoryService-v3)/ne [`LdapAccessFilter`](#yaml-DirectoryService-LdapAccessFilter)doit pas être défini dans ce cas.
```
DirectoryService:
...
AdditionalSssdConfigs:
access_provider: simple
simple_allow_groups: EngineeringTeam
```
[Politique de mise à jour : le parc informatique doit être arrêté pour que ce paramètre soit modifié pour une mise à jour.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)