DirectoryService Abschnitt

Anmerkung

Support für DirectoryService wurde in AWS ParallelCluster Version 3.1.1 hinzugefügt.

(Optional) Die Verzeichnisdiensteinstellungen für einen Cluster, der den Zugriff mehrerer Benutzer unterstützt.

AWS ParallelCluster verwaltet Berechtigungen, die den Zugriff mehrerer Benutzer auf Cluster mit einem Active Directory (AD) über das Lightweight Directory Access Protocol (LDAP) unterstützen, das vom System Security Services Daemon (SSSD) unterstützt wird. Weitere Informationen finden Sie unter Was ist AWS Directory Service im AWS Directory Service -Administratorhandbuch.

Wir empfehlen, LDAP über TLS/SSL (kurz LDAPS abgekürzt) zu verwenden, um sicherzustellen, dass potenziell vertrauliche Informationen über verschlüsselte Kanäle übertragen werden.

DirectoryService:
  DomainName: string
  DomainAddr: string
  PasswordSecretArn: string
  DomainReadOnlyUser: string
  LdapTlsCaCert: string
  LdapTlsReqCert: string
  LdapAccessFilter: string
  GenerateSshKeysForUsers: boolean
  AdditionalSssdConfigs: dict

Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.

DirectoryService-Eigenschaften

Anmerkung

Wenn Sie die Nutzung AWS ParallelCluster in einem einzelnen Subnetz ohne Internetzugang planen, finden Sie weitere Anforderungen unter. AWS ParallelClusterin einem einzelnen Subnetz ohne Internetzugang ohne Internetzugang ohne Internetzugang ohne Internetzugang.

DomainName(Erforderlich,String)

Die Active Directory-Domäne (AD), die Sie für Identitätsinformationen verwenden.

DomainNameakzeptiert sowohl die Formate Fully Qualified Domain Name (FQDN) als auch LDAP Distinguished Name (DN).

• Beispiel für einen FQDN: corp.example.com

• Beispiel für einen LDAP-DN: DC=corp,DC=example,DC=com

Diese Eigenschaft entspricht dem aufgerufenen sssd-ldap-Parameter. ldap_search_base

Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.

DomainAddr(Erforderlich,) String

Die URI oder URIs, die auf den AD-Domänencontroller verweisen, der als LDAP-Server verwendet wird. Die URI entspricht dem aufgerufenen SSSD-LDAP-Parameter. ldap_uri Der Wert kann eine durch Kommas getrennte Zeichenfolge von URIs sein. Um LDAP zu verwenden, müssen Sie am Anfang ldap:// jeder URI etwas hinzufügen.

Beispielwerte:

ldap://192.0.2.0,ldap://203.0.113.0          # LDAP
ldaps://192.0.2.0,ldaps://203.0.113.0        # LDAPS without support for certificate verification
ldaps://abcdef01234567890.corp.example.com  # LDAPS with support for certificate verification
192.0.2.0,203.0.113.0                        # AWS ParallelCluster uses LDAPS by default

Wenn Sie LDAPS mit Zertifikatsverifizierung verwenden, müssen die URIs Hostnamen sein.

Wenn Sie LDAPS ohne Zertifikatsverifizierung oder LDAP verwenden, können URIs Hostnamen oder IP-Adressen sein.

Verwenden Sie LDAP über TLS/SSL (LDAPS), um die Übertragung von Passwörtern und anderen vertraulichen Informationen über unverschlüsselte Kanäle zu vermeiden. Wenn AWS ParallelCluster kein Protokoll gefunden wird, wird es am Anfang jeder URI oder ldaps:// jedes Hostnamens hinzugefügt.

Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.

PasswordSecretArn(Erforderlich,String)

Der Amazon-Ressourcenname (ARN) des AWS Secrets Manager Geheimnisses, das das DomainReadOnlyUser Klartext-Passwort enthält. Der Inhalt des Geheimnisses entspricht dem aufgerufenen SSSD-LDAP-Parameter. ldap_default_authtok

Anmerkung

Achten Sie beim Erstellen eines Geheimnisses mit der AWS Secrets Manager Konsole darauf, „Andere Art von Geheimnis“ und Klartext auszuwählen und nur den Passworttext in das Geheimnis aufzunehmen.

Weitere Informationen zur Erstellung eines Geheimnisses finden Sie AWS Secrets Manager unter Create an AWS Secrets Manager Secret

Der LDAP-Client verwendet das Passwort, um sich bei der AD-Domäne zu authentifizieren, DomainReadOnlyUser wenn er Identitätsinformationen anfordert.

Ob der Benutzer dazu berechtigt PasswordSecretArn ist DescribeSecret, wird überprüft. PasswordSecretArnist gültig, wenn das angegebene Geheimnis existiert. Wenn die Benutzer-IAM-Richtlinie dies nicht beinhaltetDescribeSecret, PasswordSecretArn nicht validiert wird und eine Warnmeldung angezeigt wird. Weitere Informationen finden Sie unter AWS ParallelCluster pclusterGrundlegende Benutzerrichtlinie.

Wenn sich der Wert des Geheimnisses ändert, wird der Cluster nicht automatisch aktualisiert. Um den Cluster für den neuen geheimen Wert zu aktualisieren, müssen Sie die Rechenflotte mit dem pcluster update-compute-fleet Befehl beenden und dann den folgenden Befehl vom Hauptknoten aus ausführen.

$ sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh

Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.

DomainReadOnlyUser(Erforderlich,String)

Die Identität, die verwendet wird, um die AD-Domäne bei der Authentifizierung von Cluster-Benutzeranmeldungen nach Identitätsinformationen abzufragen. Sie entspricht dem aufgerufenen SSSD-LDAP-Parameter. ldap_default_bind_dn Verwenden Sie Ihre AD-Identitätsinformationen für diesen Wert.

Geben Sie die Identität in der Form an, die für den spezifischen LDAP-Client erforderlich ist, der sich auf dem Knoten befindet:

• Microsoft AD:

  cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com

• Einfache Anzeige:

  cn=ReadOnlyUser,cn=Users,dc=corp,dc=example,dc=com

Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.

LdapTlsCaCert(Fakultativ,String)

Der absolute Pfad zu einem Zertifikatspaket, das die Zertifikate für jede Zertifizierungsstelle in der Zertifizierungskette enthält, die ein Zertifikat für die Domänencontroller ausgestellt hat. Er entspricht dem aufgerufenen SSSD-LDAP-Parameter. ldap_tls_cacert

Ein Zertifikatspaket ist eine Datei, die aus der Verkettung verschiedener Zertifikate im PEM-Format besteht, das in Windows auch als DER Base64-Format bezeichnet wird. Es wird verwendet, um die Identität des AD-Domänencontrollers zu überprüfen, der als LDAP-Server fungiert.

AWS ParallelCluster ist nicht verantwortlich für die erstmalige Platzierung von Zertifikaten auf Knoten. Als Clusteradministrator können Sie das Zertifikat im Hauptknoten manuell konfigurieren, nachdem der Cluster erstellt wurde, oder Sie können ein Bootstrap-Skript verwenden. Alternativ können Sie ein Amazon Machine Image (AMI) verwenden, das das auf dem Hauptknoten konfigurierte Zertifikat enthält.

Simple AD bietet keine LDAPS-Unterstützung. Informationen zur Integration eines Simple AD-Verzeichnisses finden Sie unter So konfigurieren Sie einen LDAPS-Endpunkt für Simple AD im AWS Sicherheitsblog. AWS ParallelCluster

Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.

LdapTlsReqCert(Optional,String)

Gibt an, welche Prüfungen an Serverzertifikaten in einer TLS-Sitzung durchgeführt werden sollen. Es entspricht dem aufgerufenen SSSD-LDAP-Parameter. ldap_tls_reqcert

Gültige Werte: never, allow, try, demand und hard.

never, und try ermöglichenallow, dass Verbindungen auch dann fortgeführt werden können, wenn Probleme mit Zertifikaten gefunden werden.

demandund hard ermöglichen die Fortsetzung der Kommunikation, falls keine Probleme mit Zertifikaten gefunden werden.

Wenn der Clusteradministrator einen Wert verwendet, für den die erfolgreiche Überprüfung des Zertifikats nicht erforderlich ist, wird eine Warnmeldung an den Administrator zurückgegeben. Aus Sicherheitsgründen empfehlen wir, die Zertifikatsüberprüfung nicht zu deaktivieren.

Der Standardwert ist hard.

Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.

LdapAccessFilter(Fakultativ,String)

Gibt einen Filter an, um den Verzeichniszugriff auf eine Untergruppe von Benutzern zu beschränken. Diese Eigenschaft entspricht dem aufgerufenen SSSD-LDAP-Parameter. ldap_access_filter Sie können damit Abfragen auf ein AD beschränken, das eine große Anzahl von Benutzern unterstützt.

Dieser Filter kann den Benutzerzugriff auf den Cluster blockieren. Er hat jedoch keinen Einfluss auf die Auffindbarkeit blockierter Benutzer.

Wenn diese Eigenschaft festgelegt ist, wird der SSSD-Parameter access_provider auf ldap intern von gesetzt AWS ParallelCluster und darf nicht durch die Einstellungen von DirectoryService/AdditionalSssdConfigsgeändert werden.

Wenn diese Eigenschaft weggelassen wird und kein benutzerdefinierter Benutzerzugriff in DirectoryService/angegeben ist AdditionalSssdConfigs, können alle Benutzer im Verzeichnis auf den Cluster zugreifen.

Beispiele:

"!(cn=SomeUser*)"  # denies access to every user with alias starting with "SomeUser"
"(cn=SomeUser*)"   # allows access to every user with alias starting with "SomeUser"
"memberOf=cn=TeamOne,ou=Users,ou=CORP,dc=corp,dc=example,dc=com" # allows access only to users in group "TeamOne".

Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.

GenerateSshKeysForUsers(Optional,Boolean)

Definiert, ob unmittelbar nach ihrer ersten Authentifizierung auf dem Hauptknoten ein SSH-Schlüssel für Clusterbenutzer AWS ParallelCluster generiert wird.

Wenn diese Option auf gesetzt isttrue, wird für jeden Benutzer nach seiner ersten Authentifizierung auf dem Hauptknoten ein SSH-Schlüssel generiert und gespeichert, falls er nicht existiert. USER_HOME_DIRECTORY/.ssh/id_rsa

Für einen Benutzer, der noch nicht auf dem Hauptknoten authentifiziert wurde, kann die erste Authentifizierung in den folgenden Fällen erfolgen:

• Der Benutzer meldet sich zum ersten Mal mit seinem eigenen Passwort am Hauptknoten an.

• Im Hauptknoten wechselt ein Sudoer zum ersten Mal zum Benutzer: su USERNAME

• Im Hauptknoten führt ein Sudoer zum ersten Mal einen Befehl als Benutzer aus: su -u USERNAME COMMAND

Benutzer können den SSH-Schlüssel für nachfolgende Anmeldungen am Cluster-Kopfknoten und den Rechenknoten verwenden. Mit AWS ParallelCluster sind Kennwortanmeldungen an Cluster-Rechenknoten standardmäßig deaktiviert. Wenn sich ein Benutzer nicht am Hauptknoten angemeldet hat, werden keine SSH-Schlüssel generiert und der Benutzer kann sich nicht bei Rechenknoten anmelden.

Der Standardwert ist true.

Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.

AdditionalSssdConfigs(Fakultativ,Dict)

Ein Diktat von Schlüssel-Wert-Paaren, die SSSD-Parameter und Werte enthalten, die in die SSSD-Konfigurationsdatei auf Cluster-Instances geschrieben werden sollen. Eine vollständige Beschreibung der SSSD-Konfigurationsdatei finden Sie in den Manpages auf der Instanz und den zugehörigen Konfigurationsdateien. SSSD

Die SSSD-Parameter und -Werte müssen mit AWS ParallelCluster der SSSD-Konfiguration kompatibel sein, wie in der folgenden Liste beschrieben.

• id_providerist auf ldap intern von gesetzt AWS ParallelCluster und darf nicht geändert werden.

• access_providerist auf ldap intern gesetzt, AWS ParallelCluster wenn DirectoryService/angegeben LdapAccessFilterwird, und diese Einstellung darf nicht geändert werden.

  Wenn DirectoryService/weggelassen LdapAccessFilterwird, wird auch seine access_provider Angabe weggelassen. Wenn Sie beispielsweise access_provider auf simple in setzen AdditionalSssdConfigs, LdapAccessFilterdarf DirectoryService/nicht angegeben werden.

Die folgenden Konfigurationsausschnitte sind Beispiele für gültige Konfigurationen für. AdditionalSssdConfigs

In diesem Beispiel wird die Debug-Ebene für SSSD-Protokolle aktiviert, die Suchbasis auf eine bestimmte Organisationseinheit beschränkt und das Zwischenspeichern von Anmeldeinformationen deaktiviert.

DirectoryService:
  ...
  AdditionalSssdConfigs:
    debug_level: "0xFFF0"
    ldap_search_base: OU=Users,OU=CORP,DC=corp,DC=example,DC=com
    cache_credentials: False

Dieses Beispiel spezifiziert die Konfiguration einer SSSD. simpleaccess_provider Benutzern aus dem EngineeringTeam wird Zugriff auf das Verzeichnis gewährt. DirectoryService/LdapAccessFilterdarf in diesem Fall nicht gesetzt werden.

DirectoryService:
  ...
  AdditionalSssdConfigs:
    access_provider: simple
    simple_allow_groups: EngineeringTeam

Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.