Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Bagian DirectoryService
catatan
Support untuk DirectoryService
ditambahkan di AWS ParallelCluster versi 3.1.1.
(Opsional) Pengaturan layanan direktori untuk cluster yang mendukung beberapa akses pengguna.
AWS ParallelCluster mengelola izin yang mendukung akses beberapa pengguna ke cluster dengan Active Directory (AD) melalui Lightweight Directory Access Protocol (LDAP) yang didukung oleh Daemon Layanan Keamanan Sistem
Kami menyarankan Anda menggunakan LDAP melalui TLS/SSL (disingkat LDAPS) untuk memastikan bahwa setiap informasi yang berpotensi sensitif ditransmisikan melalui saluran terenkripsi.
DirectoryService:
DomainName: string
DomainAddr: string
PasswordSecretArn: string
DomainReadOnlyUser: string
LdapTlsCaCert: string
LdapTlsReqCert: string
LdapAccessFilter: string
GenerateSshKeysForUsers: boolean
AdditionalSssdConfigs: dict
Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.
DirectoryService
properti
catatan
Jika Anda berencana untuk menggunakan AWS ParallelCluster dalam satu subnet tanpa akses internet, lihat AWS ParallelCluster dalam satu subnet tanpa akses internet persyaratan tambahan.
DomainName
(Diperlukan,String
)-
Domain Active Directory (AD) yang Anda gunakan untuk informasi identitas.
DomainName
menerima format Fully Qualified Domain Name (FQDN) dan LDAP Distinguished Name (DN).-
Contoh FQDN:
corp.
example
.com -
Contoh LDAP DN:
DC=
corp
,DC=example
,DC=com
Properti ini sesuai dengan parameter sssd-ldap yang dipanggil.
ldap_search_base
Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.
-
DomainAddr
(Diperlukan,String
)-
URI atau URIs yang mengarah ke pengontrol domain AD yang digunakan sebagai server LDAP. URI sesuai dengan parameter SSSD-LDAP yang dipanggil.
ldap_uri
Nilainya bisa berupa string yang dipisahkan koma dari. URIs Untuk menggunakan LDAP, Anda harus menambahkanldap://
ke awal setiap URI.Nilai contoh:
ldap://192.0.2.0,ldap://203.0.113.0 # LDAP ldaps://192.0.2.0,ldaps://203.0.113.0 # LDAPS without support for certificate verification ldaps://abcdef01234567890.corp.example.com # LDAPS with support for certificate verification 192.0.2.0,203.0.113.0 # AWS ParallelCluster uses LDAPS by default
Jika Anda menggunakan LDAPS dengan verifikasi sertifikat, URIs harus menjadi nama host.
Jika Anda menggunakan LDAPS tanpa verifikasi sertifikat atau LDAP, URIs dapat berupa nama host atau alamat IP.
Gunakan LDAP melalui TLS/SSL (LDAPS) untuk menghindari transmisi kata sandi dan informasi sensitif lainnya melalui saluran yang tidak terenkripsi. Jika AWS ParallelCluster tidak menemukan protokol, itu
ldaps://
menambah awal setiap URI atau nama host.Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.
PasswordSecretArn
(Diperlukan,String
)-
Nama Sumber Daya Amazon (ARN) dari AWS Secrets Manager rahasia yang berisi kata sandi teks biasa
DomainReadOnlyUser
. Isi rahasia sesuai dengan parameter SSSD-LDAP yang disebut.ldap_default_authtok
catatan
Saat membuat rahasia menggunakan AWS Secrets Manager konsol pastikan untuk memilih “Jenis rahasia lainnya”, pilih teks biasa, dan hanya sertakan teks kata sandi dalam rahasia.
Untuk informasi lebih lanjut tentang cara menggunakan AWS Secrets Manager untuk membuat rahasia, lihat Buat AWS Secrets Manager Rahasia
Klien LDAP menggunakan kata sandi untuk mengautentikasi ke domain AD sebagai
DomainReadOnlyUser
saat meminta informasi identitas.Jika pengguna memiliki izin untuk
DescribeSecret
,PasswordSecretArn
divalidasi.PasswordSecretArn
valid jika rahasia yang ditentukan ada. Jika kebijakan IAM pengguna tidak disertakanDescribeSecret
,PasswordSecretArn
tidak divalidasi dan pesan peringatan ditampilkan. Untuk informasi selengkapnya, lihat Kebijakan AWS ParallelCluster pcluster pengguna dasar.Ketika nilai rahasia berubah, cluster tidak diperbarui secara otomatis. Untuk memperbarui cluster untuk nilai rahasia baru, Anda harus menghentikan armada komputasi dengan pcluster update-compute-fleet perintah dan kemudian menjalankan perintah berikut dari dalam node kepala.
$
sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh
Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.
DomainReadOnlyUser
(Diperlukan,String
)-
Identitas yang digunakan untuk menanyakan domain AD untuk informasi identitas saat mengautentikasi login pengguna cluster. Ini sesuai dengan parameter SSSD-LDAP yang disebut.
ldap_default_bind_dn
Gunakan informasi identitas iklan Anda untuk nilai ini.Tentukan identitas dalam formulir yang diperlukan oleh klien LDAP tertentu yang ada di node:
-
MicrosofPad:
cn=ReadOnlyUser,ou=Users,ou=CORP,dc=
corp
,dc=example
,dc=com
-
SimpleAD:
cn=ReadOnlyUser,cn=Users,dc=
corp
,dc=example
,dc=com
Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.
-
LdapTlsCaCert
(Opsional,String
)-
Jalur absolut ke bundel sertifikat yang berisi sertifikat untuk setiap otoritas sertifikasi dalam rantai sertifikasi yang mengeluarkan sertifikat untuk pengontrol domain. Ini sesuai dengan parameter SSSD-LDAP yang disebut.
ldap_tls_cacert
Bundel sertifikat adalah file yang terdiri dari rangkaian sertifikat berbeda dalam format PEM, juga dikenal sebagai format DER Base64 di Windows. Ini digunakan untuk memverifikasi identitas pengontrol domain AD yang bertindak sebagai server LDAP.
AWS ParallelCluster tidak bertanggung jawab atas penempatan awal sertifikat ke node. Sebagai administrator cluster, Anda dapat mengonfigurasi sertifikat di node kepala secara manual setelah cluster dibuat atau Anda dapat menggunakan skrip bootstrap. Atau, Anda dapat menggunakan Amazon Machine Image (AMI) yang menyertakan sertifikat yang dikonfigurasi pada node kepala.
Simple AD tidak menyediakan dukungan LDAPS. Untuk mempelajari cara mengintegrasikan direktori Simple AD dengan AWS ParallelCluster, lihat Cara mengonfigurasi titik akhir LDAPS untuk Simple AD di Blog
Keamanan.AWS Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.
LdapTlsReqCert
(Opsional,String
)-
Menentukan pemeriksaan apa yang akan dilakukan pada sertifikat server dalam sesi TLS. Ini sesuai dengan parameter SSSD-LDAP yang disebut.
ldap_tls_reqcert
Nilai yang valid:
never
,allow
,try
,demand
, danhard
.never
,allow
, dantry
aktifkan koneksi untuk melanjutkan bahkan jika masalah dengan sertifikat ditemukan.demand
danhard
memungkinkan komunikasi untuk melanjutkan jika tidak ada masalah dengan sertifikat yang ditemukan.Jika administrator klaster menggunakan nilai yang tidak memerlukan validasi sertifikat untuk berhasil, pesan peringatan akan dikembalikan ke administrator. Untuk alasan keamanan, kami menyarankan Anda untuk tidak menonaktifkan verifikasi sertifikat.
Nilai default-nya adalah
hard
.Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.
LdapAccessFilter
(Opsional,String
)-
Menentukan filter untuk membatasi akses direktori ke subset pengguna. Properti ini sesuai dengan parameter SSSD-LDAP yang dipanggil.
ldap_access_filter
Anda dapat menggunakannya untuk membatasi kueri pada iklan yang mendukung sejumlah besar pengguna.Filter ini dapat memblokir akses pengguna ke cluster. Namun, itu tidak memengaruhi kemampuan ditemukan pengguna yang diblokir.
Jika properti ini disetel, parameter SSSD
access_provider
diatur keldap
internal oleh AWS ParallelCluster dan tidak boleh dimodifikasi oleh DirectoryService/AdditionalSssdConfigspengaturan.Jika properti ini dihilangkan dan akses pengguna yang disesuaikan tidak ditentukan di DirectoryService/AdditionalSssdConfigs, semua pengguna di direktori dapat mengakses klaster.
Contoh:
"!(cn=
SomeUser*
)" # denies access to every user with alias starting with "SomeUser" "(cn=SomeUser*
)" # allows access to every user with alias starting with "SomeUser" "memberOf=cn=TeamOne
,ou=Users,ou=CORP,dc=corp
,dc=example
,dc=com
" # allows access only to users in group "TeamOne".Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.
GenerateSshKeysForUsers
(Opsional,Boolean
)-
Mendefinisikan apakah AWS ParallelCluster menghasilkan kunci SSH untuk pengguna cluster segera setelah otentikasi awal mereka pada node kepala.
Jika disetel ke
true
, kunci SSH dihasilkan dan disimpan ke
, jika tidak ada, untuk setiap pengguna setelah otentikasi pertama mereka di node kepala.USER_HOME_DIRECTORY
/.ssh/id_rsaUntuk pengguna yang belum diautentikasi pada node kepala, otentikasi pertama dapat terjadi dalam kasus berikut:
-
Pengguna masuk ke node kepala untuk pertama kalinya dengan kata sandinya sendiri.
-
Di node kepala, sudoer beralih ke pengguna untuk pertama kalinya:
su
USERNAME
-
Di node kepala, sudoer menjalankan perintah sebagai pengguna untuk pertama kalinya:
su -u
USERNAME COMMAND
Pengguna dapat menggunakan kunci SSH untuk login berikutnya ke node kepala cluster dan node komputasi. Dengan AWS ParallelCluster, login kata sandi ke node komputasi cluster dinonaktifkan berdasarkan desain. Jika pengguna belum masuk ke node kepala, kunci SSH tidak dihasilkan dan pengguna tidak akan dapat masuk untuk menghitung node.
Default-nya adalah
true
.Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.
-
AdditionalSssdConfigs
(Opsional,Dict
)-
Dikte pasangan nilai kunci yang berisi parameter dan nilai SSSD untuk ditulis ke file konfigurasi SSSD pada instance cluster. Untuk deskripsi lengkap tentang file konfigurasi SSSD, lihat halaman manual on-instance untuk
SSSD
dan file konfigurasi terkait.Parameter dan nilai SSSD harus kompatibel dengan AWS ParallelCluster konfigurasi SSSD seperti yang dijelaskan dalam daftar berikut.
-
id_provider
diatur keldap
internal oleh AWS ParallelCluster dan tidak boleh dimodifikasi. -
access_provider
diatur keldap
internal oleh AWS ParallelCluster ketika DirectoryService/LdapAccessFilterditentukan, dan pengaturan ini tidak boleh diubah.Jika DirectoryService/LdapAccessFilterdihilangkan,
access_provider
spesifikasinya juga dihilangkan. Misalnya, jika Anda mengaturaccess_provider
kesimple
in AdditionalSssdConfigs, maka DirectoryService/tidak LdapAccessFilterboleh ditentukan.
Cuplikan konfigurasi berikut adalah contoh konfigurasi yang valid untuk.
AdditionalSssdConfigs
Contoh ini memungkinkan tingkat debug untuk log SSSD, membatasi basis pencarian ke unit organisasi tertentu, dan menonaktifkan caching kredensional.
DirectoryService: ... AdditionalSssdConfigs: debug_level: "0xFFF0" ldap_search_base: OU=Users,OU=CORP,DC=corp,DC=example,DC=com cache_credentials: False
Contoh ini menentukan konfigurasi
simple
access_provider
SSSD. Pengguna dariEngineeringTeam
disediakan akses ke direktori. DirectoryService/tidak LdapAccessFilterboleh diatur dalam kasus ini.DirectoryService: ... AdditionalSssdConfigs: access_provider: simple simple_allow_groups: EngineeringTeam
Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.
-