Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Bagian DirectoryService
catatan
Support untuk DirectoryService
ditambahkan di AWS ParallelCluster versi 3.1.1.
(Opsional) Pengaturan layanan direktori untuk cluster yang mendukung beberapa akses pengguna.
AWS ParallelCluster mengelola izin yang mendukung akses beberapa pengguna ke cluster dengan Active Directory (AD) melalui Lightweight Directory Access Protocol (LDAP) yang didukung oleh Daemon Layanan Keamanan Sistem
Kami menyarankan Anda menggunakan LDAP overTLS/SSL(disingkat singkatnya) LDAPS untuk memastikan bahwa setiap informasi yang berpotensi sensitif ditransmisikan melalui saluran terenkripsi.
DirectoryService: DomainName:
string
DomainAddr:string
PasswordSecretArn:string
DomainReadOnlyUser:string
LdapTlsCaCert:string
LdapTlsReqCert:string
LdapAccessFilter:string
GenerateSshKeysForUsers:boolean
AdditionalSssdConfigs:dict
Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.
DirectoryService
properti
catatan
Jika Anda berencana untuk menggunakan AWS ParallelCluster dalam satu subnet tanpa akses internet, lihat AWS ParallelCluster dalam satu subnet tanpa akses internet persyaratan tambahan.
DomainName
(Diperlukan,String
)-
Domain Active Directory (AD) yang Anda gunakan untuk informasi identitas.
DomainName
menerima format Fully Qualified Domain Name (FQDN) dan LDAP Distinguished Name (DN).-
FQDNcontoh:
corp.
example
.com -
LDAPContoh DN:
DC=
corp
,DC=example
,DC=com
Properti ini sesuai dengan parameter sssd-ldap yang dipanggil.
ldap_search_base
Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.
-
DomainAddr
(Diperlukan,String
)-
Titik URI atau URIs itu ke pengontrol domain AD yang digunakan sebagai LDAP server. URISesuai dengan SSSD - LDAP parameter yang disebut
ldap_uri
. Nilainya bisa berupa string yang dipisahkan koma dari. URIs Untuk menggunakannyaLDAP, Anda harus menambahkanldap://
ke awal masing-masingURI.Nilai contoh:
ldap://192.0.2.0,ldap://203.0.113.0 # LDAP ldaps://192.0.2.0,ldaps://203.0.113.0 # LDAPS without support for certificate verification ldaps://abcdef01234567890.corp.example.com # LDAPS with support for certificate verification 192.0.2.0,203.0.113.0 # AWS ParallelCluster uses LDAPS by default
Jika Anda menggunakan LDAPS dengan verifikasi sertifikat, URIs harus menjadi nama host.
Jika Anda menggunakan LDAPS tanpa verifikasi sertifikat atauLDAP, URIs dapat berupa nama host atau alamat IP.
Gunakan LDAP overTLS/SSL(LDAPS) untuk menghindari transmisi kata sandi dan informasi sensitif lainnya melalui saluran yang tidak terenkripsi. Jika AWS ParallelCluster tidak menemukan protokol, itu
ldaps://
menambah awal masing-masing URI atau nama host.Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.
PasswordSecretArn
(Diperlukan,String
)-
Nama Sumber Daya Amazon (ARN) dari AWS Secrets Manager rahasia yang berisi kata sandi
DomainReadOnlyUser
teks biasa. Isi rahasia sesuai dengan SSSD - LDAP parameter yang disebutldap_default_authtok
.catatan
Saat membuat rahasia menggunakan AWS Secrets Manager konsol pastikan untuk memilih “Jenis rahasia lainnya”, pilih teks biasa, dan hanya sertakan teks kata sandi dalam rahasia.
Untuk informasi lebih lanjut tentang cara menggunakan AWS Secrets Manager untuk membuat rahasia, lihat Buat AWS Secrets Manager Rahasia
LDAPKlien menggunakan kata sandi untuk mengautentikasi ke domain AD sebagai
DomainReadOnlyUser
saat meminta informasi identitas.Jika pengguna memiliki izin untuk
DescribeSecret
,PasswordSecretArn
divalidasi.PasswordSecretArn
valid jika rahasia yang ditentukan ada. Jika IAM kebijakan pengguna tidak disertakanDescribeSecret
,PasswordSecretArn
tidak divalidasi dan pesan peringatan akan ditampilkan. Untuk informasi selengkapnya, lihat Kebijakan AWS ParallelCluster pcluster pengguna dasar.Ketika nilai rahasia berubah, klaster tidak diperbarui secara otomatis. Untuk memperbarui cluster untuk nilai rahasia baru, Anda harus menghentikan armada komputasi dengan pcluster update-compute-fleet perintah dan kemudian menjalankan perintah berikut dari dalam node kepala.
$
sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh
Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.
DomainReadOnlyUser
(Diperlukan,String
)-
Identitas yang digunakan untuk menanyakan domain AD untuk informasi identitas saat mengautentikasi login pengguna klaster. Ini sesuai dengan SSSD - LDAP parameter yang disebut
ldap_default_bind_dn
. Gunakan informasi identitas iklan Anda untuk nilai ini.Tentukan identitas dalam formulir yang diperlukan oleh LDAP klien tertentu yang ada di node:
-
MicrosofPad:
cn=ReadOnlyUser,ou=Users,ou=CORP,dc=
corp
,dc=example
,dc=com
-
SimpleAD:
cn=ReadOnlyUser,cn=Users,dc=
corp
,dc=example
,dc=com
Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.
-
LdapTlsCaCert
(Opsional,String
)-
Jalur absolut ke bundel sertifikat yang berisi sertifikat untuk setiap otoritas sertifikasi dalam rantai sertifikasi yang mengeluarkan sertifikat untuk pengontrol domain. Ini sesuai dengan SSSD - LDAP parameter yang disebut
ldap_tls_cacert
.Bundel sertifikat adalah file yang terdiri dari rangkaian sertifikat berbeda dalam PEM format, juga dikenal sebagai format DER Base64 di Windows. Ini digunakan untuk memverifikasi identitas pengontrol domain AD yang bertindak sebagai LDAP server.
AWS ParallelCluster tidak bertanggung jawab atas penempatan awal sertifikat ke node. Sebagai administrator cluster, Anda dapat mengonfigurasi sertifikat di node kepala secara manual setelah cluster dibuat atau Anda dapat menggunakan skrip bootstrap. Atau, Anda dapat menggunakan Amazon Machine Image (AMI) yang menyertakan sertifikat yang dikonfigurasi pada node kepala.
Simple AD tidak memberikan LDAPS dukungan. Untuk mempelajari cara mengintegrasikan direktori Simple AD dengan AWS ParallelCluster, lihat Cara mengonfigurasi LDAPS titik akhir untuk Simple AD
di Blog AWS Keamanan. Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.
LdapTlsReqCert
(Opsional,String
)-
Menentukan pemeriksaan apa yang akan dilakukan pada sertifikat server dalam TLS sesi. Ini sesuai dengan SSSD - LDAP parameter yang disebut
ldap_tls_reqcert
.Nilai yang valid:
never
,allow
,try
,demand
, danhard
.never
,allow
, dantry
aktifkan koneksi untuk melanjutkan bahkan jika masalah dengan sertifikat ditemukan.demand
danhard
memungkinkan komunikasi untuk melanjutkan jika tidak ada masalah dengan sertifikat yang ditemukan.Jika administrator klaster menggunakan nilai yang tidak memerlukan validasi sertifikat untuk berhasil, pesan peringatan akan dikembalikan ke administrator. Untuk alasan keamanan, kami menyarankan Anda untuk tidak menonaktifkan verifikasi sertifikat.
Nilai default-nya adalah
hard
.Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.
LdapAccessFilter
(Opsional,String
)-
Menentukan filter untuk membatasi akses direktori ke subset pengguna. Properti ini sesuai dengan SSSD - LDAP parameter yang dipanggil
ldap_access_filter
. Anda dapat menggunakannya untuk membatasi kueri pada iklan yang mendukung sejumlah besar pengguna.Filter ini dapat memblokir akses pengguna ke cluster. Namun, itu tidak memengaruhi kemampuan ditemukan pengguna yang diblokir.
Jika properti ini disetel, SSSD parameter
access_provider
diatur keldap
internal oleh AWS ParallelCluster dan tidak boleh dimodifikasi oleh DirectoryService/AdditionalSssdConfigspengaturan.Jika properti ini dihilangkan dan akses pengguna yang disesuaikan tidak ditentukan di DirectoryService/AdditionalSssdConfigs, semua pengguna di direktori dapat mengakses klaster.
Contoh:
"!(cn=
SomeUser*
)" # denies access to every user with alias starting with "SomeUser" "(cn=SomeUser*
)" # allows access to every user with alias starting with "SomeUser" "memberOf=cn=TeamOne
,ou=Users,ou=CORP,dc=corp
,dc=example
,dc=com
" # allows access only to users in group "TeamOne".Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.
GenerateSshKeysForUsers
(Opsional,Boolean
)-
Mendefinisikan apakah AWS ParallelCluster menghasilkan SSH kunci untuk pengguna cluster segera setelah otentikasi awal mereka di node kepala.
Jika disetel ke
true
, SSH kunci dihasilkan dan disimpan ke
, jika tidak ada, untuk setiap pengguna setelah otentikasi pertama mereka di node kepala.USER_HOME_DIRECTORY
/.ssh/id_rsaUntuk pengguna yang belum diautentikasi pada node kepala, otentikasi pertama dapat terjadi dalam kasus berikut:
-
Pengguna masuk ke node kepala untuk pertama kalinya dengan kata sandinya sendiri.
-
Di node kepala, sudoer beralih ke pengguna untuk pertama kalinya:
su
USERNAME
-
Di node kepala, sudoer menjalankan perintah sebagai pengguna untuk pertama kalinya:
su -u
USERNAME COMMAND
Pengguna dapat menggunakan SSH kunci untuk login berikutnya ke node kepala cluster dan node komputasi. Dengan AWS ParallelCluster, login kata sandi ke node komputasi cluster dinonaktifkan berdasarkan desain. Jika pengguna belum masuk ke node kepala, SSH kunci tidak dihasilkan dan pengguna tidak akan dapat masuk untuk menghitung node.
Default-nya adalah
true
.Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.
-
AdditionalSssdConfigs
(Opsional,Dict
)-
Sebuah dict dari pasangan kunci-nilai yang berisi SSSD parameter dan nilai untuk ditulis ke file SSSD konfigurasi pada instance cluster. Untuk deskripsi lengkap tentang file SSSD konfigurasi, lihat halaman manual on-instance untuk
SSSD
dan file konfigurasi terkait.SSSDParameter dan nilai harus kompatibel dengan AWS ParallelCluster SSSD konfigurasi seperti yang dijelaskan dalam daftar berikut.
-
id_provider
diatur keldap
internal oleh AWS ParallelCluster dan tidak boleh dimodifikasi. -
access_provider
diatur keldap
internal oleh AWS ParallelCluster ketika DirectoryService/LdapAccessFilterditentukan, dan pengaturan ini tidak boleh diubah.Jika DirectoryService/LdapAccessFilterdihilangkan,
access_provider
spesifikasinya juga dihilangkan. Misalnya, jika Anda menyetelaccess_provider
kesimple
in AdditionalSssdConfigs, maka DirectoryService/tidak LdapAccessFilterboleh ditentukan.
Cuplikan konfigurasi berikut adalah contoh konfigurasi yang valid untuk.
AdditionalSssdConfigs
Contoh ini memungkinkan tingkat debug untuk SSSD log, membatasi basis pencarian ke unit organisasi tertentu, dan menonaktifkan caching kredensil.
DirectoryService: ... AdditionalSssdConfigs: debug_level: "0xFFF0" ldap_search_base: OU=Users,OU=CORP,DC=corp,DC=example,DC=com cache_credentials: False
Contoh ini menentukan konfigurasi dari sebuah SSSD
simple
access_provider
. Pengguna dariEngineeringTeam
disediakan akses ke direktori. DirectoryService/tidak LdapAccessFilterboleh diatur dalam kasus ini.DirectoryService: ... AdditionalSssdConfigs: access_provider: simple simple_allow_groups: EngineeringTeam
Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.
-