Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sezione DirectoryService
Nota
Il supporto per DirectoryService
è stato aggiunto nella AWS ParallelCluster versione 3.1.1.
(Facoltativo) Le impostazioni del servizio di directory per un cluster che supporta l'accesso di più utenti.
AWS ParallelCluster gestisce le autorizzazioni che supportano l'accesso di più utenti ai cluster con Active Directory (AD) tramite Lightweight Directory Access Protocol (LDAP) supportato dal System Security Services Daemon
Si consiglia di utilizzare LDAP su TLS/SSL (abbreviato in LDAPS) per garantire che tutte le informazioni potenzialmente sensibili vengano trasmesse su canali crittografati.
DirectoryService: DomainName:
string
DomainAddr:string
PasswordSecretArn:string
DomainReadOnlyUser:string
LdapTlsCaCert:string
LdapTlsReqCert:string
LdapAccessFilter:string
GenerateSshKeysForUsers:boolean
AdditionalSssdConfigs:dict
Proprietà DirectoryService
Nota
Se prevedi di utilizzarlo AWS ParallelCluster in un'unica sottorete senza accesso a Internet, consulta la sezione dedicata ai requisiti aggiuntivi. AWS ParallelCluster in un'unica sottorete senza accesso a Internet
DomainName
(Obbligatorio,String
)-
Il dominio Active Directory (AD) utilizzato per le informazioni sull'identità.
DomainName
accetta i formati Fully Qualified Domain Name (FQDN) e LDAP Distinguished Name (DN).-
Esempio di FQDN:
corp.
example
.com -
Esempio di DN LDAP:
DC=
corp
,DC=example
,DC=com
Questa proprietà corrisponde al parametro sssd-ldap chiamato.
ldap_search_base
-
DomainAddr
(Obbligatorio,)String
-
L'URI o URIs quel punto rimanda al controller di dominio AD utilizzato come server LDAP. L'URI corrisponde al parametro SSSD-LDAP chiamato.
ldap_uri
Il valore può essere una stringa separata da virgole di. URIs Per utilizzare LDAP, è necessarioldap://
aggiungere all'inizio di ogni URI.Valori di esempio:
ldap://192.0.2.0,ldap://203.0.113.0 # LDAP ldaps://192.0.2.0,ldaps://203.0.113.0 # LDAPS without support for certificate verification ldaps://abcdef01234567890.corp.example.com # LDAPS with support for certificate verification 192.0.2.0,203.0.113.0 # AWS ParallelCluster uses LDAPS by default
Se si utilizza LDAPS con la verifica del certificato, URIs devono essere nomi host.
Se si utilizza LDAPS senza verifica del certificato o LDAP, URIs possono essere nomi host o indirizzi IP.
Utilizzate LDAP su TLS/SSL (LDAPS) per evitare la trasmissione di password e altre informazioni sensibili su canali non crittografati. Se AWS ParallelCluster non trova un protocollo, lo aggiunge
ldaps://
all'inizio di ogni URI o nome host. PasswordSecretArn
(Obbligatorio,String
)-
L'Amazon Resource Name (ARN) del AWS Secrets Manager segreto che contiene la password in chiaro
DomainReadOnlyUser
. Il contenuto del segreto corrisponde al parametro SSSD-LDAP chiamato.ldap_default_authtok
Nota
Quando crei un segreto utilizzando la AWS Secrets Manager console, assicurati di selezionare «Altro tipo di segreto», seleziona testo non crittografato e includi solo il testo della password nel segreto.
Per ulteriori informazioni su come AWS Secrets Manager creare un segreto, consulta Create an Secret AWS Secrets Manager
Il client LDAP utilizza la password per l'autenticazione nel dominio AD
DomainReadOnlyUser
quando richiede informazioni sull'identità.Se l'utente ha il permesso di farlo
DescribeSecret
,PasswordSecretArn
viene convalidato.PasswordSecretArn
è valido se il segreto specificato esiste. Se la policy IAM dell'utente non includeDescribeSecret
,PasswordSecretArn
non viene convalidata e viene visualizzato un messaggio di avviso. Per ulteriori informazioni, consulta Politica AWS ParallelCluster pcluster utente di base.Quando il valore del segreto cambia, il cluster non viene aggiornato automaticamente. Per aggiornare il cluster in base al nuovo valore segreto, è necessario interrompere la flotta di calcolo con il pcluster update-compute-fleet comando e quindi eseguire il comando seguente dall'interno del nodo principale.
$
sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh
DomainReadOnlyUser
(Obbligatorio,String
)-
L'identità utilizzata per interrogare il dominio AD per ottenere informazioni sull'identità durante l'autenticazione degli accessi degli utenti del cluster. Corrisponde al parametro SSSD-LDAP chiamato.
ldap_default_bind_dn
Usa le informazioni sulla tua identità AD per questo valore.Specificate l'identità nel modulo richiesto dallo specifico client LDAP presente sul nodo:
-
Microsoft AD:
cn=ReadOnlyUser,ou=Users,ou=CORP,dc=
corp
,dc=example
,dc=com
-
Annuncio semplice:
cn=ReadOnlyUser,cn=Users,dc=
corp
,dc=example
,dc=com
-
LdapTlsCaCert
(Facoltativo,)String
-
Il percorso assoluto di un pacchetto di certificati contenente i certificati di ogni autorità di certificazione nella catena di certificazione che ha emesso un certificato per i controller di dominio. Corrisponde al parametro SSSD-LDAP chiamato.
ldap_tls_cacert
Un pacchetto di certificati è un file composto dalla concatenazione di certificati distinti in formato PEM, noto anche come formato DER Base64 in Windows. Viene utilizzato per verificare l'identità del controller di dominio AD che funge da server LDAP.
AWS ParallelCluster non è responsabile del posizionamento iniziale dei certificati sui nodi. In qualità di amministratore del cluster, puoi configurare manualmente il certificato nel nodo principale dopo la creazione del cluster oppure puoi utilizzare uno script di bootstrap. In alternativa, puoi utilizzare un'Amazon Machine Image (AMI) che include il certificato configurato sul nodo principale.
Simple AD non fornisce il supporto LDAPS. Per informazioni su come integrare una directory Simple AD con AWS ParallelCluster, vedi Come configurare un endpoint LDAPS per Simple AD
nel blog sulla AWS sicurezza. LdapTlsReqCert
(Facoltativo,)String
-
Speciifica quali controlli eseguire sui certificati del server in una sessione TLS. Corrisponde al parametro SSSD-LDAP chiamato.
ldap_tls_reqcert
Valori validi:
never
,allow
,try
,demand
ehard
.never
allow
, etry
abilita il proseguimento delle connessioni anche se vengono rilevati problemi con i certificati.demand
ehard
abilita la continuazione della comunicazione se non vengono rilevati problemi con i certificati.Se l'amministratore del cluster utilizza un valore che non richiede la convalida del certificato per avere esito positivo, viene restituito un messaggio di avviso all'amministratore. Per motivi di sicurezza, ti consigliamo di non disabilitare la verifica dei certificati.
Il valore predefinito è
hard
. LdapAccessFilter
(Facoltativo,String
)-
Specificate un filtro per limitare l'accesso alla directory a un sottoinsieme di utenti. Questa proprietà corrisponde al parametro SSSD-LDAP chiamato.
ldap_access_filter
È possibile utilizzarlo per limitare le query a un AD che supporta un numero elevato di utenti.Questo filtro può bloccare l'accesso degli utenti al cluster. Tuttavia, non influisce sulla reperibilità degli utenti bloccati.
Se questa proprietà è impostata, il parametro SSSD
access_provider
è impostatoldap
internamente da AWS ParallelCluster e non deve essere modificato da DirectoryService/settings. AdditionalSssdConfigsSe questa proprietà viene omessa e l'accesso utente personalizzato non è specificato in DirectoryService/AdditionalSssdConfigs, tutti gli utenti della directory possono accedere al cluster.
Esempi:
"!(cn=
SomeUser*
)" # denies access to every user with alias starting with "SomeUser" "(cn=SomeUser*
)" # allows access to every user with alias starting with "SomeUser" "memberOf=cn=TeamOne
,ou=Users,ou=CORP,dc=corp
,dc=example
,dc=com
" # allows access only to users in group "TeamOne". GenerateSshKeysForUsers
(Facoltativo,Boolean
)-
Definisce se AWS ParallelCluster genera una chiave SSH per gli utenti del cluster immediatamente dopo l'autenticazione iniziale sul nodo principale.
Se impostato su
true
, una chiave SSH viene generata e salvata
, se non esiste, per ogni utente dopo la prima autenticazione sul nodo principale.USER_HOME_DIRECTORY
/.ssh/id_rsaPer un utente che non è ancora stato autenticato sul nodo principale, la prima autenticazione può avvenire nei seguenti casi:
-
L'utente accede al nodo principale per la prima volta con la propria password.
-
Nel nodo principale, un sudoer passa all'utente per la prima volta:
su
USERNAME
-
Nel nodo principale, un sudoer esegue un comando come utente per la prima volta:
su -u
USERNAME COMMAND
Gli utenti possono utilizzare la chiave SSH per gli accessi successivi al nodo principale del cluster e ai nodi di calcolo. Con AWS ParallelCluster, gli accessi tramite password ai nodi di calcolo del cluster sono disabilitati in base alla progettazione. Se un utente non ha effettuato l'accesso al nodo principale, le chiavi SSH non vengono generate e l'utente non sarà in grado di accedere ai nodi di calcolo.
Il valore predefinito è
true
. -
AdditionalSssdConfigs
(Facoltativo,)Dict
-
Un elenco di coppie chiave-valore contenenti parametri e valori SSSD da scrivere nel file di configurazione SSSD sulle istanze del cluster. Per una descrizione completa del file di configurazione SSSD, consulta le pagine di manuale relative all'istanza e i relativi file di configurazione.
SSSD
I parametri e i valori SSSD devono essere compatibili con AWS ParallelCluster la configurazione SSSD descritta nell'elenco seguente.
-
id_provider
è impostato suldap
internamente da AWS ParallelCluster e non deve essere modificato. -
access_provider
è impostataldap
internamente AWS ParallelCluster quando LdapAccessFilterviene specificato DirectoryService/e questa impostazione non deve essere modificata.Se DirectoryService/LdapAccessFilterviene omesso, viene omessa anche la sua
access_provider
specificazione. Ad esempio, se si imposta suaccess_provider
simple
in AdditionalSssdConfigs, non è LdapAccessFilternecessario specificare DirectoryService/.
I seguenti frammenti di configurazione sono esempi di configurazioni valide per.
AdditionalSssdConfigs
Questo esempio abilita il livello di debug per i log SSSD, limita la base di ricerca a un'unità organizzativa specifica e disabilita la memorizzazione nella cache delle credenziali.
DirectoryService: ... AdditionalSssdConfigs: debug_level: "0xFFF0" ldap_search_base: OU=Users,OU=CORP,DC=corp,DC=example,DC=com cache_credentials: False
Questo esempio specifica la configurazione di un SSD.
simple
access_provider
Agli utenti diEngineeringTeam
viene fornito l'accesso alla directory. DirectoryService/non LdapAccessFilterdeve essere impostato in questo caso.DirectoryService: ... AdditionalSssdConfigs: access_provider: simple simple_allow_groups: EngineeringTeam
-