DirectoryService 섹션 - AWS ParallelCluster

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

DirectoryService 섹션

참고

AWS ParallelCluster 버전 3.1.1에 에 대한 지원이 DirectoryService 추가되었습니다.

(선택 사항) 다중 사용자 액세스를 지원하는 클러스터의 디렉토리 서비스 설정

AWS ParallelCluster 는 시스템 보안 서비스 대몬()에서 지원하는 라이트웨이트 디렉터리 액세스 프로토콜()을 통해 Active Directory(ADLDAP)를 사용하여 클러스터에 대한 여러 사용자 액세스를 지원하는 권한을 관리합니다. SSSD 자세한 내용은 AWS Directory Service 관리 가이드AWS Directory Service란 무엇입니까?를 참조하세요.

잠재적으로 민감한 정보가 암호화된 채널을 통해 전송되도록 하려면 LDAP TLS/SSL 이상(단축)LDAPS을 사용하는 것이 좋습니다.

DirectoryService: DomainName: string DomainAddr: string PasswordSecretArn: string DomainReadOnlyUser: string LdapTlsCaCert: string LdapTlsReqCert: string LdapAccessFilter: string GenerateSshKeysForUsers: boolean AdditionalSssdConfigs: dict

업데이트 정책: 업데이트를 위해 이 설정을 변경하려면 컴퓨팅 플릿을 중지해야 합니다.

DirectoryService 속성

참고

인터넷에 액세스할 수 없는 단일 서브넷 AWS ParallelCluster 에서 를 사용할 계획인 경우 추가 요구 사항은 섹션을 참조AWS ParallelCluster 인터넷에 액세스할 수 없는 단일 서브넷하세요.

DomainName(필수, String)

ID 정보로 사용하는 액티브 디렉터리(AD) 도메인

DomainName 는 정규화된 도메인 이름(FQDN) 및 LDAP 고유 이름(DN) 형식을 모두 허용합니다.

  • FQDN 예: corp.example.com

  • LDAP DN 예제: DC=corp,DC=example,DC=com

이 속성은 ldap_search_base라는 sssd-ldap 파라미터에 대응합니다.

업데이트 정책: 업데이트를 위해 이 설정을 변경하려면 컴퓨팅 플릿을 중지해야 합니다.

DomainAddr(필수, String)

URI 또는 URIs 이 LDAP 서버로 사용되는 AD 도메인 컨트롤러를 가리킵니다. 는 라는 SSSD-LDAP 파라미터에 URI 해당합니다ldap_uri. 값은 의 쉼표로 구분된 문자열일 수 있습니다URIs. ldap:// 를 사용하려면 각 의 시작 부분에 를 추가LDAP해야 합니다URI.

예제 값:

ldap://192.0.2.0,ldap://203.0.113.0 # LDAP ldaps://192.0.2.0,ldaps://203.0.113.0 # LDAPS without support for certificate verification ldaps://abcdef01234567890.corp.example.com # LDAPS with support for certificate verification 192.0.2.0,203.0.113.0 # AWS ParallelCluster uses LDAPS by default

인증서 확인LDAPS과 함께 를 사용하는 경우 는 호스트 이름이어야 URIs 합니다.

인증서 확인 또는 LDAPS 없이 를 사용하는 경우 LDAP는 호스트 이름 또는 IP 주소일 URIs 수 있습니다.

암호화되지 않은 채널을 통해 암호 및 기타 민감한 정보가 전송되지 않도록 하려면 TLS/SSL(LDAPS)LDAP를 초과하세요. AWS ParallelCluster 가 프로토콜을 찾지 못하면 각 URI 또는 호스트 이름의 시작 ldaps:// 부분에 추가됩니다.

업데이트 정책: 업데이트를 위해 이 설정을 변경하려면 컴퓨팅 플릿을 중지해야 합니다.

PasswordSecretArn(필수, String)

DomainReadOnlyUser 일반 텍스트 암호가 포함된 AWS Secrets Manager 보안 암호의 Amazon 리소스 이름(ARN)입니다. 보안 암호의 내용은 라는 SSSD-LDAP 파라미터에 해당합니다ldap_default_authtok.

참고

AWS Secrets Manager 콘솔을 사용하여 보안 암호를 생성할 때는 '기타 보안 암호 유형'을 선택하고 일반 텍스트를 선택한 다음 보안 암호에 암호 텍스트만 포함해야 합니다.

를 사용하여 보안 암호를 AWS Secrets Manager 생성하는 방법에 대한 자세한 내용은 AWS Secrets Manager 보안 암호 생성을 참조하세요.

LDAP 클라이언트는 자격 증명 정보를 요청할 DomainReadOnlyUser 때 암호를 사용하여 AD 도메인에 로 인증합니다.

사용자에게 DescribeSecret에 대한 권한이 있는 경우 PasswordSecretArn의 유효성이 검사됩니다. 지정된 비밀이 존재할 경우 PasswordSecretArn가 유효합니다. 사용자 IAM 정책에 가 포함되지 않은 경우 DescribeSecret가 검증PasswordSecretArn되지 않고 경고 메시지가 표시됩니다. 자세한 내용은 기본 AWS ParallelCluster pcluster 사용자 정책 단원을 참조하십시오.

시크릿 값이 변경되더라도 클러스터는 자동으로 업데이트되지 않습니다. 새 암호 값에 맞게 클러스터를 업데이트하려면 pcluster update-compute-fleet 명령으로 컴퓨팅 플릿을 중지한 다음 헤드 노드 내에서 다음 명령을 실행해야 합니다.

$ sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh

업데이트 정책: 업데이트를 위해 이 설정을 변경하려면 컴퓨팅 플릿을 중지해야 합니다.

DomainReadOnlyUser(필수, String)

클러스터 사용자 로그인을 인증할 때 AD 도메인에 ID 정보를 쿼리하는 데 사용되는 ID입니다. 이는 라는 SSSD-LDAP 파라미터에 해당합니다ldap_default_bind_dn. 이 값에는 AD ID 정보를 사용하세요.

노드에 있는 특정 LDAP 클라이언트에서 요구하는 형식으로 자격 증명을 지정합니다.

  • MicrosoftAD:

    cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com
  • SimpleAD:

    cn=ReadOnlyUser,cn=Users,dc=corp,dc=example,dc=com

업데이트 정책: 업데이트를 위해 이 설정을 변경하려면 컴퓨팅 플릿을 중지해야 합니다.

LdapTlsCaCert(선택 사항, String)

도메인 컨트롤러용 인증서를 발급한 인증 체인의 모든 인증 기관에 대한 인증서를 포함하는 인증서 번들의 절대 경로입니다. 이는 라는 SSSD-LDAP 파라미터에 해당합니다ldap_tls_cacert.

인증서 번들은 Windows에서 DER Base64 PEM 형식으로도 알려진 형식의 개별 인증서로 구성된 파일입니다. LDAP 서버 역할을 하는 AD 도메인 컨트롤러의 ID를 확인하는 데 사용됩니다.

AWS ParallelCluster 는 노드에 인증서를 처음 배치할 책임이 없습니다. 클러스터 관리자는 클러스터를 생성한 후 헤드 노드에 인증서를 수동으로 구성하거나 부트스트랩 스크립트를 사용할 수 있습니다. 또는 헤드 노드에 구성된 인증서가 포함된 Amazon Machine Image(AMI)를 사용할 수 있습니다.

Simple AD는 LDAPS 지원을 제공하지 않습니다. Simple AD 디렉터리를 와 통합하는 방법을 알아보려면 AWS 보안 블로그Simple AD에 대한 LDAPS 엔드포인트를 구성하는 방법을 AWS ParallelCluster참조하세요.

업데이트 정책: 업데이트를 위해 이 설정을 변경하려면 컴퓨팅 플릿을 중지해야 합니다.

LdapTlsReqCert(선택 사항, String)

TLS 세션의 서버 인증서에 대해 수행할 검사를 지정합니다. 이는 라고 하는 SSSD-LDAP 파라미터에 해당합니다ldap_tls_reqcert.

유효한 값: never, allow, try, demandhard.

never, allowtry는 인증서에 문제가 발견되더라도 연결을 계속할 수 있게 합니다.

demandhard는 인증서에 문제가 없는 경우 통신을 계속할 수 있게 합니다.

클러스터 관리자가 인증서 유효성 검사에 성공할 필요가 없는 값을 사용하는 경우 관리자에게 경고 메시지가 반환됩니다. 보안상의 이유로 인증서 확인을 비활성화하지 않는 것이 좋습니다.

기본값은 hard입니다.

업데이트 정책: 업데이트를 위해 이 설정을 변경하려면 컴퓨팅 플릿을 중지해야 합니다.

LdapAccessFilter(선택 사항, String)

디렉터리 액세스를 사용자 하위 집합으로 제한하는 필터를 지정합니다. 이 속성은 라는 SSSD-LDAP 파라미터에 해당합니다ldap_access_filter. 이를 사용하여 많은 사용자를 지원하는 AD로 쿼리를 제한할 수 있습니다.

이 필터는 클러스터에 대한 사용자 액세스를 차단할 수 있습니다. 그러나 차단된 사용자의 검색 가능성에는 영향을 미치지 않습니다.

이 속성이 설정된 경우 SSSD 파라미터access_provider는 에 의해 ldap AWS ParallelCluster 내부적으로 설정되며 DirectoryService / AdditionalSssdConfigs 설정에 의해 수정되어서는 안 됩니다.

이 속성을 생략하고 DirectoryService/AdditionalSssdConfigs에 사용자 지정된 사용자 액세스를 지정하지 않으면 디렉터리의 모든 사용자가 클러스터에 액세스할 수 있습니다.

예시:

"!(cn=SomeUser*)" # denies access to every user with alias starting with "SomeUser" "(cn=SomeUser*)" # allows access to every user with alias starting with "SomeUser" "memberOf=cn=TeamOne,ou=Users,ou=CORP,dc=corp,dc=example,dc=com" # allows access only to users in group "TeamOne".

업데이트 정책: 업데이트를 위해 이 설정을 변경하려면 컴퓨팅 플릿을 중지해야 합니다.

GenerateSshKeysForUsers(선택 사항, Boolean)

헤드 노드에 대한 초기 인증 직후 클러스터 사용자를 위한 SSH 키를 AWS ParallelCluster 생성할지 여부를 정의합니다.

로 설정하면 true SSH 키가 생성되어 존재하지 않는 USER_HOME_DIRECTORY/.ssh/id_rsa경우 헤드 노드에서 처음 인증한 후 모든 사용자에 대해 에 저장됩니다.

헤드 노드에서 아직 인증되지 않은 사용자의 경우 다음과 같은 경우에 첫 번째 인증이 발생할 수 있습니다.

  • 사용자가 자신의 비밀번호로 헤드 노드에 처음으로 로그인합니다.

  • 헤드 노드에서 sudoer가 처음으로 사용자로 전환합니다: su USERNAME

  • 헤드 노드에서 sudoer가 처음으로 사용자로서 명령을 실행합니다: su -u USERNAME COMMAND

사용자는 SSH 키를 사용하여 클러스터 헤드 노드 및 컴퓨팅 노드에 나중에 로그인할 수 있습니다. 를 사용하면 클러스터 컴퓨팅 노드에 대한 AWS ParallelCluster암호 로그인이 설계에 의해 비활성화됩니다. 사용자가 헤드 노드에 로그인하지 않은 경우 SSH 키가 생성되지 않으며 사용자는 컴퓨팅 노드에 로그인할 수 없습니다.

기본값은 true입니다.

업데이트 정책: 업데이트를 위해 이 설정을 변경하려면 컴퓨팅 플릿을 중지해야 합니다.

AdditionalSssdConfigs(선택 사항, Dict)

클러스터 인스턴스의 SSSD 구성 파일에 쓸 SSSD 파라미터와 값을 포함하는 키-값 페어의 dict입니다. SSSD 구성 파일에 대한 전체 설명은 SSSD 및 관련 구성 파일에 대한 온인스턴스 맨 페이지를 참조하세요.

SSSD 파라미터 및 값은 다음 목록에 설명된 대로 AWS ParallelCluster의 SSSD 구성과 호환되어야 합니다.

다음 구성 스니펫은 AdditionalSssdConfigs에 대한 유효한 구성의 예제입니다.

이 예제에서는 SSSD 로그에 대한 디버그 수준을 활성화하고, 검색 기반을 특정 조직 단위로 제한하며, 자격 증명 캐싱을 비활성화합니다.

DirectoryService: ... AdditionalSssdConfigs: debug_level: "0xFFF0" ldap_search_base: OU=Users,OU=CORP,DC=corp,DC=example,DC=com cache_credentials: False

이 예제에서는 SSSD simple 의 구성을 지정합니다access_provider. EngineeringTeam의 사용자에게 디렉터리 액세스 권한이 제공됩니다. 이 경우 DirectoryService/LdapAccessFilter를 설정해서는 안 됩니다.

DirectoryService: ... AdditionalSssdConfigs: access_provider: simple simple_allow_groups: EngineeringTeam

업데이트 정책: 업데이트를 위해 이 설정을 변경하려면 컴퓨팅 플릿을 중지해야 합니다.