Bagian `DirectoryService`

catatan

Support untuk DirectoryService ditambahkan di AWS ParallelCluster versi 3.1.1.

(Opsional) Pengaturan layanan direktori untuk cluster yang mendukung beberapa akses pengguna.

AWS ParallelCluster mengelola izin yang mendukung akses beberapa pengguna ke cluster dengan Active Directory (AD) melalui Lightweight Directory Access Protocol (LDAP) yang didukung oleh Daemon Layanan Keamanan Sistem (SSSD). Untuk informasi lebih lanjut, lihat Apa itu AWS Directory Service? di Panduan Administrasi AWS Directory Service .

Kami menyarankan Anda menggunakan LDAP melalui TLS/SSL (disingkat LDAPS) untuk memastikan bahwa setiap informasi yang berpotensi sensitif ditransmisikan melalui saluran terenkripsi.


DirectoryService:
  DomainName: string
  DomainAddr: string
  PasswordSecretArn: string
  DomainReadOnlyUser: string
  LdapTlsCaCert: string
  LdapTlsReqCert: string
  LdapAccessFilter: string
  GenerateSshKeysForUsers: boolean
  AdditionalSssdConfigs: dict

Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.

`DirectoryService`properti

catatan

Jika Anda berencana untuk menggunakan AWS ParallelCluster dalam satu subnet tanpa akses internet, lihat AWS ParallelClusterdalam subnet tunggal tanpa akses internet persyaratan tambahan.

DomainName(Diperlukan,String)

Domain Active Directory (AD) yang Anda gunakan untuk informasi identitas.

DomainNamemenerima format Fully Qualified Domain Name (FQDN) dan LDAP Distinguished Name (DN).

Contoh FQDN: corp.example.com
Contoh LDAP DN: DC=corp,DC=example,DC=com

Properti ini sesuai dengan parameter sssd-ldap yang dipanggil. ldap_search_base

Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.

DomainAddr(Diperlukan,String)

URI atau URI yang mengarah ke pengontrol domain AD yang digunakan sebagai server LDAP. URI sesuai dengan parameter SSSD-LDAP yang dipanggil. ldap_uri Nilainya bisa berupa string URI yang dipisahkan koma. Untuk menggunakan LDAP, Anda harus menambahkan ldap:// ke awal setiap URI.

Nilai contoh:


ldap://192.0.2.0,ldap://203.0.113.0          # LDAP
ldaps://192.0.2.0,ldaps://203.0.113.0        # LDAPS without support for certificate verification
ldaps://abcdef01234567890.corp.example.com  # LDAPS with support for certificate verification
192.0.2.0,203.0.113.0                        # AWS ParallelCluster uses LDAPS by default

Jika Anda menggunakan LDAPS dengan verifikasi sertifikat, URI harus menjadi nama host.

Jika Anda menggunakan LDAPS tanpa verifikasi sertifikat atau LDAP, URI dapat berupa nama host atau alamat IP.

Gunakan LDAP melalui TLS/SSL (LDAPS) untuk menghindari transmisi kata sandi dan informasi sensitif lainnya melalui saluran yang tidak terenkripsi. Jika AWS ParallelCluster tidak menemukan protokol, itu ldaps:// menambah awal setiap URI atau nama host.

Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.

PasswordSecretArn(Diperlukan,String)

Nama Sumber Daya Amazon (ARN) dari AWS Secrets Manager rahasia yang berisi kata sandi teks biasaDomainReadOnlyUser. Isi rahasia sesuai dengan parameter SSSD-LDAP yang disebut. ldap_default_authtok

catatan

Saat membuat rahasia menggunakan AWS Secrets Manager konsol pastikan untuk memilih “Jenis rahasia lainnya”, pilih teks biasa, dan hanya sertakan teks kata sandi dalam rahasia.

Untuk informasi lebih lanjut tentang cara menggunakan AWS Secrets Manager untuk membuat rahasia, lihat Buat AWS Secrets Manager Rahasia

Klien LDAP menggunakan kata sandi untuk mengautentikasi ke domain AD sebagai DomainReadOnlyUser saat meminta informasi identitas.

Jika pengguna memiliki izin untuk DescribeSecret, PasswordSecretArn divalidasi. PasswordSecretArnvalid jika rahasia yang ditentukan ada. Jika kebijakan IAM pengguna tidak disertakanDescribeSecret, PasswordSecretArn tidak divalidasi dan pesan peringatan ditampilkan. Untuk informasi selengkapnya, lihat Kebijakan AWS ParallelCluster pcluster pengguna dasar.

Ketika nilai rahasia berubah, cluster tidak diperbarui secara otomatis. Untuk memperbarui cluster untuk nilai rahasia baru, Anda harus menghentikan armada komputasi dengan pcluster update-compute-fleet perintah dan kemudian menjalankan perintah berikut dari dalam node kepala.


$ sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh

Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.

DomainReadOnlyUser(Diperlukan,String)

Identitas yang digunakan untuk menanyakan domain AD untuk informasi identitas saat mengautentikasi login pengguna klaster. Ini sesuai dengan parameter SSSD-LDAP yang disebut. ldap_default_bind_dn Gunakan informasi identitas iklan Anda untuk nilai ini.

Tentukan identitas dalam formulir yang diperlukan oleh klien LDAP tertentu yang ada di node:

MicrosofPad:


cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com

SimpleAD:


cn=ReadOnlyUser,cn=Users,dc=corp,dc=example,dc=com

Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.

LdapTlsCaCert(Opsional,String)

Jalur absolut ke bundel sertifikat yang berisi sertifikat untuk setiap otoritas sertifikasi dalam rantai sertifikasi yang mengeluarkan sertifikat untuk pengontrol domain. Ini sesuai dengan parameter SSSD-LDAP yang disebut. ldap_tls_cacert

Bundel sertifikat adalah file yang terdiri dari rangkaian sertifikat berbeda dalam format PEM, juga dikenal sebagai format DER Base64 di Windows. Ini digunakan untuk memverifikasi identitas pengontrol domain AD yang bertindak sebagai server LDAP.

AWS ParallelCluster tidak bertanggung jawab atas penempatan awal sertifikat ke node. Sebagai administrator cluster, Anda dapat mengonfigurasi sertifikat di node kepala secara manual setelah cluster dibuat atau Anda dapat menggunakan skrip bootstrap. Atau, Anda dapat menggunakan Amazon Machine Image (AMI) yang menyertakan sertifikat yang dikonfigurasi pada node kepala.

Simple AD tidak menyediakan dukungan LDAPS. Untuk mempelajari cara mengintegrasikan direktori Simple AD dengan AWS ParallelCluster, lihat Cara mengonfigurasi titik akhir LDAPS untuk Simple AD di Blog Keamanan.AWS

Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.

LdapTlsReqCert(Opsional,String)

Menentukan pemeriksaan apa yang akan dilakukan pada sertifikat server dalam sesi TLS. Ini sesuai dengan parameter SSSD-LDAP yang disebut. ldap_tls_reqcert

Nilai yang valid:never,allow,try,demand, danhard.

never,allow, dan try aktifkan koneksi untuk melanjutkan bahkan jika masalah dengan sertifikat ditemukan.

demanddan hard memungkinkan komunikasi untuk melanjutkan jika tidak ada masalah dengan sertifikat yang ditemukan.

Jika administrator klaster menggunakan nilai yang tidak memerlukan validasi sertifikat untuk berhasil, pesan peringatan akan dikembalikan ke administrator. Untuk alasan keamanan, kami menyarankan Anda untuk tidak menonaktifkan verifikasi sertifikat.

Nilai default-nya adalah hard.

Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.

LdapAccessFilter(Opsional,String)

Menentukan filter untuk membatasi akses direktori ke subset pengguna. Properti ini sesuai dengan parameter SSSD-LDAP yang dipanggil. ldap_access_filter Anda dapat menggunakannya untuk membatasi kueri pada iklan yang mendukung sejumlah besar pengguna.

Filter ini dapat memblokir akses pengguna ke cluster. Namun, itu tidak memengaruhi kemampuan ditemukan pengguna yang diblokir.

Jika properti ini disetel, parameter SSSD access_provider diatur ke ldap internal oleh AWS ParallelCluster dan tidak boleh dimodifikasi oleh DirectoryService/AdditionalSssdConfigspengaturan.

Jika properti ini dihilangkan dan akses pengguna yang disesuaikan tidak ditentukan di DirectoryService/AdditionalSssdConfigs, semua pengguna di direktori dapat mengakses klaster.

Contoh:


"!(cn=SomeUser*)"  # denies access to every user with alias starting with "SomeUser"
"(cn=SomeUser*)"   # allows access to every user with alias starting with "SomeUser"
"memberOf=cn=TeamOne,ou=Users,ou=CORP,dc=corp,dc=example,dc=com" # allows access only to users in group "TeamOne".

Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.

GenerateSshKeysForUsers(Opsional,Boolean)

Mendefinisikan apakah AWS ParallelCluster menghasilkan kunci SSH untuk pengguna cluster segera setelah otentikasi awal mereka pada node kepala.

Jika disetel ketrue, kunci SSH dihasilkan dan disimpan keUSER_HOME_DIRECTORY/.ssh/id_rsa, jika tidak ada, untuk setiap pengguna setelah otentikasi pertama mereka di node kepala.

Untuk pengguna yang belum diautentikasi pada node kepala, otentikasi pertama dapat terjadi dalam kasus berikut:

Pengguna masuk ke node kepala untuk pertama kalinya dengan kata sandinya sendiri.
Di node kepala, sudoer beralih ke pengguna untuk pertama kalinya: su USERNAME
Di node kepala, sudoer menjalankan perintah sebagai pengguna untuk pertama kalinya: su -u USERNAME COMMAND

Pengguna dapat menggunakan kunci SSH untuk login berikutnya ke node kepala cluster dan node komputasi. Dengan AWS ParallelCluster, login kata sandi ke node komputasi cluster dinonaktifkan berdasarkan desain. Jika pengguna belum masuk ke node kepala, kunci SSH tidak dihasilkan dan pengguna tidak akan dapat masuk untuk menghitung node.

Nilai default-nya true.

Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.

AdditionalSssdConfigs(Opsional,Dict)

Dikte pasangan nilai kunci yang berisi parameter dan nilai SSSD untuk ditulis ke file konfigurasi SSSD pada instance cluster. Untuk deskripsi lengkap tentang file konfigurasi SSSD, lihat halaman manual on-instance untuk SSSD dan file konfigurasi terkait.

Parameter dan nilai SSSD harus kompatibel dengan AWS ParallelCluster konfigurasi SSSD seperti yang dijelaskan dalam daftar berikut.

id_providerdiatur ke ldap internal oleh AWS ParallelCluster dan tidak boleh dimodifikasi.
access_providerdiatur ke ldap internal oleh AWS ParallelCluster ketika DirectoryService/LdapAccessFilterditentukan, dan pengaturan ini tidak boleh diubah.

Jika DirectoryService/LdapAccessFilterdihilangkan, access_provider spesifikasinya juga dihilangkan. Misalnya, jika Anda menyetel access_provider ke simple in AdditionalSssdConfigs, maka DirectoryService/tidak LdapAccessFilterboleh ditentukan.

Cuplikan konfigurasi berikut adalah contoh konfigurasi yang valid untuk. AdditionalSssdConfigs

Contoh ini memungkinkan tingkat debug untuk log SSSD, membatasi basis pencarian ke unit organisasi tertentu, dan menonaktifkan caching kredensional.


DirectoryService:
  ...
  AdditionalSssdConfigs:
    debug_level: "0xFFF0"
    ldap_search_base: OU=Users,OU=CORP,DC=corp,DC=example,DC=com
    cache_credentials: False

Contoh ini menentukan konfigurasi simpleaccess_providerSSSD. Pengguna dari EngineeringTeam disediakan akses ke direktori. DirectoryService/tidak LdapAccessFilterboleh diatur dalam kasus ini.


DirectoryService:
  ...
  AdditionalSssdConfigs:
    access_provider: simple
    simple_allow_groups: EngineeringTeam

Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Bagian AdditionalPackages

Bagian DeploymentSettings

Bagian DirectoryService

catatan

DirectoryServiceproperti

catatan

catatan

Bagian `DirectoryService`

`DirectoryService`properti