Bagian DirectoryService - AWS ParallelCluster

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bagian DirectoryService

catatan

Support untuk DirectoryService ditambahkan di AWS ParallelCluster versi 3.1.1.

(Opsional) Pengaturan layanan direktori untuk cluster yang mendukung beberapa akses pengguna.

AWS ParallelCluster mengelola izin yang mendukung akses beberapa pengguna ke cluster dengan Active Directory (AD) melalui Lightweight Directory Access Protocol (LDAP) yang didukung oleh Daemon Layanan Keamanan Sistem (). SSSD Untuk informasi lebih lanjut, lihat Apa itu AWS Directory Service? di Panduan Administrasi AWS Directory Service .

Kami menyarankan Anda menggunakan LDAP overTLS/SSL(disingkat singkatnya) LDAPS untuk memastikan bahwa setiap informasi yang berpotensi sensitif ditransmisikan melalui saluran terenkripsi.

DirectoryService: DomainName: string DomainAddr: string PasswordSecretArn: string DomainReadOnlyUser: string LdapTlsCaCert: string LdapTlsReqCert: string LdapAccessFilter: string GenerateSshKeysForUsers: boolean AdditionalSssdConfigs: dict

Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.

DirectoryServiceproperti

catatan

Jika Anda berencana untuk menggunakan AWS ParallelCluster dalam satu subnet tanpa akses internet, lihat AWS ParallelCluster dalam satu subnet tanpa akses internet persyaratan tambahan.

DomainName(Diperlukan,String)

Domain Active Directory (AD) yang Anda gunakan untuk informasi identitas.

DomainNamemenerima format Fully Qualified Domain Name (FQDN) dan LDAP Distinguished Name (DN).

  • FQDNcontoh: corp.example.com

  • LDAPContoh DN: DC=corp,DC=example,DC=com

Properti ini sesuai dengan parameter sssd-ldap yang dipanggil. ldap_search_base

Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.

DomainAddr(Diperlukan,String)

Titik URI atau URIs itu ke pengontrol domain AD yang digunakan sebagai LDAP server. URISesuai dengan SSSD - LDAP parameter yang disebutldap_uri. Nilainya bisa berupa string yang dipisahkan koma dari. URIs Untuk menggunakannyaLDAP, Anda harus menambahkan ldap:// ke awal masing-masingURI.

Nilai contoh:

ldap://192.0.2.0,ldap://203.0.113.0 # LDAP ldaps://192.0.2.0,ldaps://203.0.113.0 # LDAPS without support for certificate verification ldaps://abcdef01234567890.corp.example.com # LDAPS with support for certificate verification 192.0.2.0,203.0.113.0 # AWS ParallelCluster uses LDAPS by default

Jika Anda menggunakan LDAPS dengan verifikasi sertifikat, URIs harus menjadi nama host.

Jika Anda menggunakan LDAPS tanpa verifikasi sertifikat atauLDAP, URIs dapat berupa nama host atau alamat IP.

Gunakan LDAP overTLS/SSL(LDAPS) untuk menghindari transmisi kata sandi dan informasi sensitif lainnya melalui saluran yang tidak terenkripsi. Jika AWS ParallelCluster tidak menemukan protokol, itu ldaps:// menambah awal masing-masing URI atau nama host.

Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.

PasswordSecretArn(Diperlukan,String)

Nama Sumber Daya Amazon (ARN) dari AWS Secrets Manager rahasia yang berisi kata sandi DomainReadOnlyUser teks biasa. Isi rahasia sesuai dengan SSSD - LDAP parameter yang disebutldap_default_authtok.

catatan

Saat membuat rahasia menggunakan AWS Secrets Manager konsol pastikan untuk memilih “Jenis rahasia lainnya”, pilih teks biasa, dan hanya sertakan teks kata sandi dalam rahasia.

Untuk informasi lebih lanjut tentang cara menggunakan AWS Secrets Manager untuk membuat rahasia, lihat Buat AWS Secrets Manager Rahasia

LDAPKlien menggunakan kata sandi untuk mengautentikasi ke domain AD sebagai DomainReadOnlyUser saat meminta informasi identitas.

Jika pengguna memiliki izin untuk DescribeSecret, PasswordSecretArn divalidasi. PasswordSecretArnvalid jika rahasia yang ditentukan ada. Jika IAM kebijakan pengguna tidak disertakanDescribeSecret, PasswordSecretArn tidak divalidasi dan pesan peringatan akan ditampilkan. Untuk informasi selengkapnya, lihat Kebijakan AWS ParallelCluster pcluster pengguna dasar.

Ketika nilai rahasia berubah, klaster tidak diperbarui secara otomatis. Untuk memperbarui cluster untuk nilai rahasia baru, Anda harus menghentikan armada komputasi dengan pcluster update-compute-fleet perintah dan kemudian menjalankan perintah berikut dari dalam node kepala.

$ sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh

Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.

DomainReadOnlyUser(Diperlukan,String)

Identitas yang digunakan untuk menanyakan domain AD untuk informasi identitas saat mengautentikasi login pengguna klaster. Ini sesuai dengan SSSD - LDAP parameter yang disebutldap_default_bind_dn. Gunakan informasi identitas iklan Anda untuk nilai ini.

Tentukan identitas dalam formulir yang diperlukan oleh LDAP klien tertentu yang ada di node:

  • MicrosofPad:

    cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com
  • SimpleAD:

    cn=ReadOnlyUser,cn=Users,dc=corp,dc=example,dc=com

Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.

LdapTlsCaCert(Opsional,String)

Jalur absolut ke bundel sertifikat yang berisi sertifikat untuk setiap otoritas sertifikasi dalam rantai sertifikasi yang mengeluarkan sertifikat untuk pengontrol domain. Ini sesuai dengan SSSD - LDAP parameter yang disebutldap_tls_cacert.

Bundel sertifikat adalah file yang terdiri dari rangkaian sertifikat berbeda dalam PEM format, juga dikenal sebagai format DER Base64 di Windows. Ini digunakan untuk memverifikasi identitas pengontrol domain AD yang bertindak sebagai LDAP server.

AWS ParallelCluster tidak bertanggung jawab atas penempatan awal sertifikat ke node. Sebagai administrator cluster, Anda dapat mengonfigurasi sertifikat di node kepala secara manual setelah cluster dibuat atau Anda dapat menggunakan skrip bootstrap. Atau, Anda dapat menggunakan Amazon Machine Image (AMI) yang menyertakan sertifikat yang dikonfigurasi pada node kepala.

Simple AD tidak memberikan LDAPS dukungan. Untuk mempelajari cara mengintegrasikan direktori Simple AD dengan AWS ParallelCluster, lihat Cara mengonfigurasi LDAPS titik akhir untuk Simple AD di Blog AWS Keamanan.

Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.

LdapTlsReqCert(Opsional,String)

Menentukan pemeriksaan apa yang akan dilakukan pada sertifikat server dalam TLS sesi. Ini sesuai dengan SSSD - LDAP parameter yang disebutldap_tls_reqcert.

Nilai yang valid:never,allow,try,demand, danhard.

never,allow, dan try aktifkan koneksi untuk melanjutkan bahkan jika masalah dengan sertifikat ditemukan.

demanddan hard memungkinkan komunikasi untuk melanjutkan jika tidak ada masalah dengan sertifikat yang ditemukan.

Jika administrator klaster menggunakan nilai yang tidak memerlukan validasi sertifikat untuk berhasil, pesan peringatan akan dikembalikan ke administrator. Untuk alasan keamanan, kami menyarankan Anda untuk tidak menonaktifkan verifikasi sertifikat.

Nilai default-nya adalah hard.

Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.

LdapAccessFilter(Opsional,String)

Menentukan filter untuk membatasi akses direktori ke subset pengguna. Properti ini sesuai dengan SSSD - LDAP parameter yang dipanggilldap_access_filter. Anda dapat menggunakannya untuk membatasi kueri pada iklan yang mendukung sejumlah besar pengguna.

Filter ini dapat memblokir akses pengguna ke cluster. Namun, itu tidak memengaruhi kemampuan ditemukan pengguna yang diblokir.

Jika properti ini disetel, SSSD parameter access_provider diatur ke ldap internal oleh AWS ParallelCluster dan tidak boleh dimodifikasi oleh DirectoryService/AdditionalSssdConfigspengaturan.

Jika properti ini dihilangkan dan akses pengguna yang disesuaikan tidak ditentukan di DirectoryService/AdditionalSssdConfigs, semua pengguna di direktori dapat mengakses klaster.

Contoh:

"!(cn=SomeUser*)" # denies access to every user with alias starting with "SomeUser" "(cn=SomeUser*)" # allows access to every user with alias starting with "SomeUser" "memberOf=cn=TeamOne,ou=Users,ou=CORP,dc=corp,dc=example,dc=com" # allows access only to users in group "TeamOne".

Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.

GenerateSshKeysForUsers(Opsional,Boolean)

Mendefinisikan apakah AWS ParallelCluster menghasilkan SSH kunci untuk pengguna cluster segera setelah otentikasi awal mereka di node kepala.

Jika disetel ketrue, SSH kunci dihasilkan dan disimpan keUSER_HOME_DIRECTORY/.ssh/id_rsa, jika tidak ada, untuk setiap pengguna setelah otentikasi pertama mereka di node kepala.

Untuk pengguna yang belum diautentikasi pada node kepala, otentikasi pertama dapat terjadi dalam kasus berikut:

  • Pengguna masuk ke node kepala untuk pertama kalinya dengan kata sandinya sendiri.

  • Di node kepala, sudoer beralih ke pengguna untuk pertama kalinya: su USERNAME

  • Di node kepala, sudoer menjalankan perintah sebagai pengguna untuk pertama kalinya: su -u USERNAME COMMAND

Pengguna dapat menggunakan SSH kunci untuk login berikutnya ke node kepala cluster dan node komputasi. Dengan AWS ParallelCluster, login kata sandi ke node komputasi cluster dinonaktifkan berdasarkan desain. Jika pengguna belum masuk ke node kepala, SSH kunci tidak dihasilkan dan pengguna tidak akan dapat masuk untuk menghitung node.

Default-nya adalah true.

Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.

AdditionalSssdConfigs(Opsional,Dict)

Sebuah dict dari pasangan kunci-nilai yang berisi SSSD parameter dan nilai untuk ditulis ke file SSSD konfigurasi pada instance cluster. Untuk deskripsi lengkap tentang file SSSD konfigurasi, lihat halaman manual on-instance untuk SSSD dan file konfigurasi terkait.

SSSDParameter dan nilai harus kompatibel dengan AWS ParallelCluster SSSD konfigurasi seperti yang dijelaskan dalam daftar berikut.

Cuplikan konfigurasi berikut adalah contoh konfigurasi yang valid untuk. AdditionalSssdConfigs

Contoh ini memungkinkan tingkat debug untuk SSSD log, membatasi basis pencarian ke unit organisasi tertentu, dan menonaktifkan caching kredensil.

DirectoryService: ... AdditionalSssdConfigs: debug_level: "0xFFF0" ldap_search_base: OU=Users,OU=CORP,DC=corp,DC=example,DC=com cache_credentials: False

Contoh ini menentukan konfigurasi dari sebuah SSSD simpleaccess_provider. Pengguna dari EngineeringTeam disediakan akses ke direktori. DirectoryService/tidak LdapAccessFilterboleh diatur dalam kasus ini.

DirectoryService: ... AdditionalSssdConfigs: access_provider: simple simple_allow_groups: EngineeringTeam

Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.