Sezione DirectoryService - AWS ParallelCluster
Proprietà DirectoryService

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sezione DirectoryService

Nota

Il supporto per DirectoryService è stato aggiunto nella AWS ParallelCluster versione 3.1.1.

(Facoltativo) Le impostazioni del servizio di directory per un cluster che supporta l'accesso di più utenti.

AWS ParallelCluster gestisce le autorizzazioni che supportano l'accesso di più utenti ai cluster con Active Directory (AD) tramite Lightweight Directory Access Protocol (LDAP) supportato dal System Security Services Daemon (SSSD). Per ulteriori informazioni, consulta Cos'è AWS Directory Service? nella Guida per l'amministrazione di AWS Directory Service .

Si consiglia di utilizzare LDAP su TLS/SSL (abbreviato in LDAPS) per garantire che tutte le informazioni potenzialmente sensibili vengano trasmesse su canali crittografati.

DirectoryService:
  DomainName: string
  DomainAddr: string
  PasswordSecretArn: string
  DomainReadOnlyUser: string
  LdapTlsCaCert: string
  LdapTlsReqCert: string
  LdapAccessFilter: string
  GenerateSshKeysForUsers: boolean
  AdditionalSssdConfigs: dict

Politica di aggiornamento: la flotta di elaborazione deve essere interrotta affinché questa impostazione possa essere modificata per un aggiornamento.

Proprietà DirectoryService

Nota

Se prevedi di utilizzarlo AWS ParallelCluster in un'unica sottorete senza accesso a Internet, consulta la sezione dedicata ai requisiti aggiuntivi. AWS ParallelCluster in un'unica sottorete senza accesso a Internet

DomainName(Obbligatorio,String)

Il dominio Active Directory (AD) utilizzato per le informazioni sull'identità.

DomainNameaccetta i formati Fully Qualified Domain Name (FQDN) e LDAP Distinguished Name (DN).

  • Esempio di FQDN: corp.example.com

  • Esempio di DN LDAP: DC=corp,DC=example,DC=com

Questa proprietà corrisponde al parametro sssd-ldap chiamato. ldap_search_base

Politica di aggiornamento: la flotta di elaborazione deve essere interrotta affinché questa impostazione possa essere modificata per un aggiornamento.

DomainAddr(Obbligatorio,) String

L'URI o URIs quel punto rimanda al controller di dominio AD utilizzato come server LDAP. L'URI corrisponde al parametro SSSD-LDAP chiamato. ldap_uri Il valore può essere una stringa separata da virgole di. URIs Per utilizzare LDAP, è necessario ldap:// aggiungere all'inizio di ogni URI.

Valori di esempio:

ldap://192.0.2.0,ldap://203.0.113.0          # LDAP
ldaps://192.0.2.0,ldaps://203.0.113.0        # LDAPS without support for certificate verification
ldaps://abcdef01234567890.corp.example.com  # LDAPS with support for certificate verification
192.0.2.0,203.0.113.0                        # AWS ParallelCluster uses LDAPS by default

Se si utilizza LDAPS con la verifica del certificato, URIs devono essere nomi host.

Se si utilizza LDAPS senza verifica del certificato o LDAP, URIs possono essere nomi host o indirizzi IP.

Utilizzate LDAP su TLS/SSL (LDAPS) per evitare la trasmissione di password e altre informazioni sensibili su canali non crittografati. Se AWS ParallelCluster non trova un protocollo, lo aggiunge ldaps:// all'inizio di ogni URI o nome host.

Politica di aggiornamento: la flotta di elaborazione deve essere interrotta affinché questa impostazione possa essere modificata per un aggiornamento.

PasswordSecretArn(Obbligatorio,String)

L'Amazon Resource Name (ARN) del AWS Secrets Manager segreto che contiene la password in chiaroDomainReadOnlyUser. Il contenuto del segreto corrisponde al parametro SSSD-LDAP chiamato. ldap_default_authtok

Nota

Quando crei un segreto utilizzando la AWS Secrets Manager console, assicurati di selezionare «Altro tipo di segreto», seleziona testo non crittografato e includi solo il testo della password nel segreto.

Per ulteriori informazioni su come AWS Secrets Manager creare un segreto, consulta Create an Secret AWS Secrets Manager

Il client LDAP utilizza la password per l'autenticazione nel dominio AD DomainReadOnlyUser quando richiede informazioni sull'identità.

Se l'utente ha il permesso di farlo DescribeSecret, PasswordSecretArn viene convalidato. PasswordSecretArnè valido se il segreto specificato esiste. Se la policy IAM dell'utente non includeDescribeSecret, PasswordSecretArn non viene convalidata e viene visualizzato un messaggio di avviso. Per ulteriori informazioni, consulta Politica AWS ParallelCluster pcluster utente di base.

Quando il valore del segreto cambia, il cluster non viene aggiornato automaticamente. Per aggiornare il cluster in base al nuovo valore segreto, è necessario interrompere la flotta di calcolo con il pcluster update-compute-fleet comando e quindi eseguire il comando seguente dall'interno del nodo principale.

$ sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh

Politica di aggiornamento: la flotta di elaborazione deve essere interrotta affinché questa impostazione possa essere modificata per un aggiornamento.

DomainReadOnlyUser(Obbligatorio,String)

L'identità utilizzata per interrogare il dominio AD per ottenere informazioni sull'identità durante l'autenticazione degli accessi degli utenti del cluster. Corrisponde al parametro SSSD-LDAP chiamato. ldap_default_bind_dn Usa le informazioni sulla tua identità AD per questo valore.

Specificate l'identità nel modulo richiesto dallo specifico client LDAP presente sul nodo:

  • Microsoft AD:

    cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com

  • Annuncio semplice:

    cn=ReadOnlyUser,cn=Users,dc=corp,dc=example,dc=com

Politica di aggiornamento: la flotta di elaborazione deve essere interrotta affinché questa impostazione possa essere modificata per un aggiornamento.

LdapTlsCaCert(Facoltativo,) String

Il percorso assoluto di un pacchetto di certificati contenente i certificati di ogni autorità di certificazione nella catena di certificazione che ha emesso un certificato per i controller di dominio. Corrisponde al parametro SSSD-LDAP chiamato. ldap_tls_cacert

Un pacchetto di certificati è un file composto dalla concatenazione di certificati distinti in formato PEM, noto anche come formato DER Base64 in Windows. Viene utilizzato per verificare l'identità del controller di dominio AD che funge da server LDAP.

AWS ParallelCluster non è responsabile del posizionamento iniziale dei certificati sui nodi. In qualità di amministratore del cluster, puoi configurare manualmente il certificato nel nodo principale dopo la creazione del cluster oppure puoi utilizzare uno script di bootstrap. In alternativa, puoi utilizzare un'Amazon Machine Image (AMI) che include il certificato configurato sul nodo principale.

Simple AD non fornisce il supporto LDAPS. Per informazioni su come integrare una directory Simple AD con AWS ParallelCluster, vedi Come configurare un endpoint LDAPS per Simple AD nel blog sulla AWS sicurezza.

Politica di aggiornamento: la flotta di elaborazione deve essere interrotta affinché questa impostazione possa essere modificata per un aggiornamento.

LdapTlsReqCert(Facoltativo,) String

Speciifica quali controlli eseguire sui certificati del server in una sessione TLS. Corrisponde al parametro SSSD-LDAP chiamato. ldap_tls_reqcert

Valori validi: never, allow, try, demand e hard.

neverallow, e try abilita il proseguimento delle connessioni anche se vengono rilevati problemi con i certificati.

demande hard abilita la continuazione della comunicazione se non vengono rilevati problemi con i certificati.

Se l'amministratore del cluster utilizza un valore che non richiede la convalida del certificato per avere esito positivo, viene restituito un messaggio di avviso all'amministratore. Per motivi di sicurezza, ti consigliamo di non disabilitare la verifica dei certificati.

Il valore predefinito è hard.

Politica di aggiornamento: la flotta di elaborazione deve essere interrotta affinché questa impostazione possa essere modificata per un aggiornamento.

LdapAccessFilter(Facoltativo,String)

Specificate un filtro per limitare l'accesso alla directory a un sottoinsieme di utenti. Questa proprietà corrisponde al parametro SSSD-LDAP chiamato. ldap_access_filter È possibile utilizzarlo per limitare le query a un AD che supporta un numero elevato di utenti.

Questo filtro può bloccare l'accesso degli utenti al cluster. Tuttavia, non influisce sulla reperibilità degli utenti bloccati.

Se questa proprietà è impostata, il parametro SSSD access_provider è impostato ldap internamente da AWS ParallelCluster e non deve essere modificato da DirectoryService/settings. AdditionalSssdConfigs

Se questa proprietà viene omessa e l'accesso utente personalizzato non è specificato in DirectoryService/AdditionalSssdConfigs, tutti gli utenti della directory possono accedere al cluster.

Esempi:

"!(cn=SomeUser*)"  # denies access to every user with alias starting with "SomeUser"
"(cn=SomeUser*)"   # allows access to every user with alias starting with "SomeUser"
"memberOf=cn=TeamOne,ou=Users,ou=CORP,dc=corp,dc=example,dc=com" # allows access only to users in group "TeamOne".

Politica di aggiornamento: la flotta di elaborazione deve essere interrotta affinché questa impostazione possa essere modificata per un aggiornamento.

GenerateSshKeysForUsers(Facoltativo,Boolean)

Definisce se AWS ParallelCluster genera una chiave SSH per gli utenti del cluster immediatamente dopo l'autenticazione iniziale sul nodo principale.

Se impostato sutrue, una chiave SSH viene generata e salvataUSER_HOME_DIRECTORY/.ssh/id_rsa, se non esiste, per ogni utente dopo la prima autenticazione sul nodo principale.

Per un utente che non è ancora stato autenticato sul nodo principale, la prima autenticazione può avvenire nei seguenti casi:

  • L'utente accede al nodo principale per la prima volta con la propria password.

  • Nel nodo principale, un sudoer passa all'utente per la prima volta: su USERNAME

  • Nel nodo principale, un sudoer esegue un comando come utente per la prima volta: su -u USERNAME COMMAND

Gli utenti possono utilizzare la chiave SSH per gli accessi successivi al nodo principale del cluster e ai nodi di calcolo. Con AWS ParallelCluster, gli accessi tramite password ai nodi di calcolo del cluster sono disabilitati in base alla progettazione. Se un utente non ha effettuato l'accesso al nodo principale, le chiavi SSH non vengono generate e l'utente non sarà in grado di accedere ai nodi di calcolo.

Il valore predefinito è true.

Politica di aggiornamento: la flotta di elaborazione deve essere interrotta affinché questa impostazione possa essere modificata per un aggiornamento.

AdditionalSssdConfigs(Facoltativo,) Dict

Un elenco di coppie chiave-valore contenenti parametri e valori SSSD da scrivere nel file di configurazione SSSD sulle istanze del cluster. Per una descrizione completa del file di configurazione SSSD, consulta le pagine di manuale relative all'istanza e i relativi file di configurazione. SSSD

I parametri e i valori SSSD devono essere compatibili con AWS ParallelCluster la configurazione SSSD descritta nell'elenco seguente.

I seguenti frammenti di configurazione sono esempi di configurazioni valide per. AdditionalSssdConfigs

Questo esempio abilita il livello di debug per i log SSSD, limita la base di ricerca a un'unità organizzativa specifica e disabilita la memorizzazione nella cache delle credenziali.

DirectoryService:
  ...
  AdditionalSssdConfigs:
    debug_level: "0xFFF0"
    ldap_search_base: OU=Users,OU=CORP,DC=corp,DC=example,DC=com
    cache_credentials: False

Questo esempio specifica la configurazione di un SSD. simpleaccess_provider Agli utenti di EngineeringTeam viene fornito l'accesso alla directory. DirectoryService/non LdapAccessFilterdeve essere impostato in questo caso.

DirectoryService:
  ...
  AdditionalSssdConfigs:
    access_provider: simple
    simple_allow_groups: EngineeringTeam

Politica di aggiornamento: la flotta di elaborazione deve essere interrotta affinché questa impostazione possa essere modificata per un aggiornamento.