Seção DirectoryService - AWS ParallelCluster
Propriedades do DirectoryService

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Seção DirectoryService

nota

Support for DirectoryService adicionado na AWS ParallelCluster versão 3.1.1.

(Opcional) As configurações do serviço de diretório para um cluster que oferece suporte ao acesso de vários usuários.

AWS ParallelCluster gerencia permissões que oferecem suporte ao acesso de vários usuários a clusters com um Active Directory (AD) por meio do Lightweight Directory Access Protocol (LDAP) suportado pelo System Security Services Daemon (SSSD). Para ter mais informações, consulte O que é AWS Directory Service? no Guia de administração do AWS Directory Service .

Recomendamos que você use LDAP overTLS/SSL(abreviado LDAPS para abreviar) para garantir que qualquer informação potencialmente sensível seja transmitida por canais criptografados.

DirectoryService:
  DomainName: string
  DomainAddr: string
  PasswordSecretArn: string
  DomainReadOnlyUser: string
  LdapTlsCaCert: string
  LdapTlsReqCert: string
  LdapAccessFilter: string
  GenerateSshKeysForUsers: boolean
  AdditionalSssdConfigs: dict

Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.

Propriedades do DirectoryService

nota

Se você planeja usar AWS ParallelCluster em uma única sub-rede sem acesso à Internet, consulte AWS ParallelCluster em uma única sub-rede sem acesso à Internet os requisitos adicionais.

DomainName (Obrigatório, String)

O domínio do Active Directory (AD) que você usa para obter informações de identidade.

DomainNameaceita os formatos Nome de Domínio Totalmente Qualificado (FQDN) e Nome LDAP Distinto (DN).

  • FQDNexemplo: corp.example.com

  • LDAPExemplo de DN: DC=corp,DC=example,DC=com

Essa propriedade corresponde ao parâmetro sssd-ldap que é chamado ldap_search_base.

Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.

DomainAddr (Obrigatório, String)

O URI ou URIs aquele aponta para o controlador de domínio AD que é usado como LDAP servidor. O URI corresponde ao LDAP parâmetro SSSD - que é chamadoldap_uri. O valor pode ser uma sequência de caracteres separada por vírgula deURIs. Para usarLDAP, você deve adicionar ldap:// ao início de cada umURI.

Valores de exemplo:

ldap://192.0.2.0,ldap://203.0.113.0          # LDAP
ldaps://192.0.2.0,ldaps://203.0.113.0        # LDAPS without support for certificate verification
ldaps://abcdef01234567890.corp.example.com  # LDAPS with support for certificate verification
192.0.2.0,203.0.113.0                        # AWS ParallelCluster uses LDAPS by default

Se você usa LDAPS com verificação de certificado, URIs devem ser nomes de host.

Se você usar LDAPS sem verificação de certificado ouLDAP, URIs podem ser nomes de host ou endereços IP.

Use LDAP overTLS/SSL(LDAPS) para evitar a transmissão de senhas e outras informações confidenciais por canais não criptografados. Se AWS ParallelCluster não encontrar um protocolo, ele será adicionado ldaps:// ao início de cada nome URI ou do host.

Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.

PasswordSecretArn (Obrigatório, String)

O nome de recurso da Amazon (ARN) do AWS Secrets Manager segredo que contém a senha em DomainReadOnlyUser texto simples. O conteúdo do segredo corresponde ao LDAP parâmetro SSSD - que é chamadoldap_default_authtok.

nota

Ao criar um segredo usando o AWS Secrets Manager console, certifique-se de selecionar “Outro tipo de segredo”, selecionar texto simples e incluir apenas o texto da senha no segredo.

Para obter mais informações sobre como usar AWS Secrets Manager para criar um segredo, consulte Criar um AWS Secrets Manager segredo.

O LDAP cliente usa a senha para se autenticar no domínio AD DomainReadOnlyUser ao solicitar informações de identidade.

Se o usuário tiver a permissão para DescribeSecret, PasswordSecretArn é validado. PasswordSecretArn é válido se o segredo especificado existir. Se a IAM política do usuário não incluirDescribeSecret, PasswordSecretArn não será validada e uma mensagem de aviso será exibida. Para obter mais informações, consulte Política básica de usuário pcluster do AWS ParallelCluster.

Quando o valor do segredo muda, o cluster não é atualizado automaticamente. Para atualizar o cluster para o novo valor secreto, você deve interromper a frota de computação com o comando pcluster update-compute-fleet e, em seguida, executar o comando a seguir a partir do nó principal.

$ sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh

Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.

DomainReadOnlyUser (Obrigatório, String)

A identidade usada para consultar o domínio do AD para obter informações de identidade ao autenticar logins de usuários do cluster. Corresponde ao LDAP parâmetro SSSD - que é chamadoldap_default_bind_dn. Use suas informações de identidade do AD para esse valor.

Especifique a identidade no formulário exigido pelo LDAP cliente específico que está no nó:

  • MicrosoftAD:

    cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com

  • SimpleAD:

    cn=ReadOnlyUser,cn=Users,dc=corp,dc=example,dc=com

Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.

LdapTlsCaCert (Opcional, String)

O caminho absoluto para um pacote de certificados contendo os certificados de cada autoridade de certificação na cadeia de certificação que emitiu um certificado para os controladores de domínio. Ele corresponde ao LDAP parâmetro SSSD - que é chamadoldap_tls_cacert.

Um pacote de certificados é um arquivo composto pela concatenação de certificados distintos em PEM formato, também conhecido como formato DER Base64 no Windows. Ele é usado para verificar a identidade do controlador de domínio AD que está atuando como LDAP servidor.

AWS ParallelCluster não é responsável pela colocação inicial dos certificados nos nós. Como administrador do cluster, você pode configurar o certificado no nó principal manualmente após a criação do cluster ou usar um script de bootstrap. Como alternativa, você pode usar uma Amazon Machine Image (AMI) que inclua o certificado configurado no nó principal.

O Simple AD não fornece LDAPS suporte. Para saber como integrar um diretório Simple AD com AWS ParallelCluster, consulte Como configurar um LDAPS endpoint para o Simple AD no blog AWS de segurança.

Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.

LdapTlsReqCert (Opcional, String)

Especifica quais verificações devem ser realizadas nos certificados do servidor em uma TLS sessão. Corresponde ao LDAP parâmetro SSSD - que é chamadoldap_tls_reqcert.

Valores válidos: never, allow, try, demand e hard.

never, allow e try permite que as conexões continuem mesmo se forem encontrados problemas com os certificados.

demand e hard permite que a comunicação continue se nenhum problema com os certificados for encontrado.

Se o administrador do cluster usar um valor que não exija que a validação do certificado seja bem-sucedida, uma mensagem de aviso será retornada ao administrador. Por motivos de segurança, recomendamos que você não desabilite a verificação do certificado.

O valor padrão é hard.

Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.

LdapAccessFilter (Opcional, String)

Especifica um filtro para limitar o acesso ao diretório a um subconjunto de usuários. Essa propriedade corresponde ao LDAP parâmetro SSSD - que é chamadoldap_access_filter. Você pode usá-lo para limitar as consultas a um AD que ofereça suporte a um grande número de usuários.

Esse filtro pode bloquear o acesso do usuário ao cluster. No entanto, isso não afeta a capacidade de descoberta de usuários bloqueados.

Se essa propriedade for definida, o SSSD parâmetro access_provider será definido ldap internamente por AWS ParallelCluster e não deverá ser modificado por DirectoryService/AdditionalSssdConfigssettings.

Se essa propriedade for omitida e o acesso personalizado do usuário não for especificado em DirectoryService / AdditionalSssdConfigs, todos os usuários no diretório poderão acessar o cluster.

Exemplos:

"!(cn=SomeUser*)"  # denies access to every user with alias starting with "SomeUser"
"(cn=SomeUser*)"   # allows access to every user with alias starting with "SomeUser"
"memberOf=cn=TeamOne,ou=Users,ou=CORP,dc=corp,dc=example,dc=com" # allows access only to users in group "TeamOne".

Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.

GenerateSshKeysForUsers (Opcional, Boolean)

Define se AWS ParallelCluster gera uma SSH chave para os usuários do cluster imediatamente após a autenticação inicial no nó principal.

Se definido comotrue, uma SSH chave é gerada e salvaUSER_HOME_DIRECTORY/.ssh/id_rsa, se não existir, para cada usuário após a primeira autenticação no nó principal.

Para um usuário que ainda não foi autenticado no nó principal, a primeira autenticação pode ocorrer nos seguintes casos:

  • O usuário faz login no nó principal pela primeira vez com sua própria senha.

  • No nó principal, um sudoer muda para o usuário pela primeira vez: su USERNAME

  • No nó principal, um sudoer executa um comando como usuário pela primeira vez: su -u USERNAME COMMAND

Os usuários podem usar a SSH chave para logins subsequentes no nó principal do cluster e nos nós de computação. Com AWS ParallelCluster, os logins com senha nos nós de computação do cluster são desativados por design. Se um usuário não estiver conectado ao nó principal, SSH as chaves não serão geradas e o usuário não poderá fazer login nos nós de computação.

O padrão é true.

Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.

AdditionalSssdConfigs (Opcional, Dict)

Um dicionário de pares de valores-chave contendo SSSD parâmetros e valores para gravar no arquivo de SSSD configuração em instâncias de cluster. Para obter uma descrição completa do arquivo de SSSD configuração, consulte as páginas do manual na instância SSSD e os arquivos de configuração relacionados.

Os SSSD parâmetros e valores devem ser compatíveis com a SSSD configuração AWS ParallelCluster do, conforme descrito na lista a seguir.

Os trechos de configuração a seguir são exemplos de configurações válidas para AdditionalSssdConfigs.

Este exemplo ativa o nível de depuração para SSSD registros, restringe a base de pesquisa a uma unidade organizacional específica e desativa o armazenamento em cache de credenciais.

DirectoryService:
  ...
  AdditionalSssdConfigs:
    debug_level: "0xFFF0"
    ldap_search_base: OU=Users,OU=CORP,DC=corp,DC=example,DC=com
    cache_credentials: False

Este exemplo especifica a configuração de um SSSD simpleaccess_provider. Os usuários do EngineeringTeam têm acesso ao diretório. DirectoryService / LdapAccessFilter não deve ser definido neste caso.

DirectoryService:
  ...
  AdditionalSssdConfigs:
    access_provider: simple
    simple_allow_groups: EngineeringTeam

Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.