DirectoryService セクション - AWS ParallelCluster
DirectoryService のプロパティ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

DirectoryService セクション

注記

のサポートDirectoryServiceが に追加されました AWS ParallelCluster バージョン 3.1.1。

(オプション) 複数のユーザーアクセスをサポートするクラスターのディレクトリサービス設定。

AWS ParallelCluster は、System Security Services デーモン () でサポートされている Lightweight Directory Access Protocol () を介した Active Directory (ADLDAP) を持つクラスターへの複数のユーザーアクセスをサポートするアクセス許可を管理します。 SSSD詳細については、「 とは」を参照してください。 AWS Directory Serviceの ? AWS Directory Service 管理ガイド

機密情報が暗号化されたチャネルを介して送信されるように、TLS/SSL (略LDAPSして) LDAPを超える を使用することをお勧めします。

DirectoryService:
  DomainName: string
  DomainAddr: string
  PasswordSecretArn: string
  DomainReadOnlyUser: string
  LdapTlsCaCert: string
  LdapTlsReqCert: string
  LdapAccessFilter: string
  GenerateSshKeysForUsers: boolean
  AdditionalSssdConfigs: dict

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

DirectoryService のプロパティ

注記

を使用する予定がある場合 AWS ParallelCluster インターネットにアクセスできない 1 つのサブネット内の追加要件については、AWS ParallelCluster インターネットにアクセスできない 1 つのサブネット内の「」を参照してください。

DomainName (必須)String)

ID 情報に使用するアクティブディレクトリ (AD) ドメイン。

DomainName は、完全修飾ドメイン名 (FQDN) LDAP 形式と識別名 (DN) 形式の両方を受け入れます。

  • FQDN 例: corp.example.com

  • LDAP DN の例: DC=corp,DC=example,DC=com

このプロパティは、ldap_search_base で呼び出される sssd-ldap パラメータに対応します。

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

DomainAddr (必須)String)

LDAP サーバーとして使用される AD ドメインコントローラーURIsを指す URIまたは 。は、 と呼ばれる SSSD-LDAP パラメータURIに対応しますldap_uri。値は、カンマで区切られた の文字列にすることができますURIs。を使用するにはLDAP、各 の先頭ldap://に を追加する必要がありますURI。

値の例:

ldap://192.0.2.0,ldap://203.0.113.0          # LDAP
ldaps://192.0.2.0,ldaps://203.0.113.0        # LDAPS without support for certificate verification
ldaps://abcdef01234567890.corp.example.com  # LDAPS with support for certificate verification
192.0.2.0,203.0.113.0                        # AWS ParallelCluster uses LDAPS by default

証明書の検証LDAPSで を使用する場合、 はホスト名URIsである必要があります。

証明書の検証または LDAPSなしで を使用する場合LDAP、 はホスト名または IP アドレスURIsになります。

TLS/SSL (LDAPS) LDAPで を使用すると、暗号化されていないチャネルでのパスワードやその他の機密情報の送信を回避できます。If AWS ParallelCluster はプロトコルを見つけられず、各 URIまたはホスト名の先頭ldaps://に追加されます。

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

PasswordSecretArn (必須)String)

の Amazon リソースネーム (ARN) AWS Secrets Manager プレーンテキストのパスワードを含む DomainReadOnlyUser シークレット。シークレットの内容は、 と呼ばれる SSSD-LDAP パラメータに対応しますldap_default_authtok

注記

を使用してシークレットを作成する場合 AWS Secrets Manager コンソールでは、「その他のタイプのシークレット」を選択し、プレーンテキストを選択し、パスワードテキストのみをシークレットに含めます。

の使用方法の詳細については、「」を参照してください。 AWS Secrets Manager シークレットを作成するには、「 の作成」を参照してください。 AWS Secrets Manager シークレット

LDAP クライアントは、ID 情報をリクエストDomainReadOnlyUserするときに、パスワードを使用して AD ドメインを として認証します。

ユーザーに DescribeSecret のアクセス許可がある場合、PasswordSecretArn が検証されます。指定されたシークレットが存在する場合、PasswordSecretArn は有効です。ユーザーIAMポリシーに が含まれていない場合DescribeSecretPasswordSecretArnは検証されず、警告メッセージが表示されます。詳細については、「AWS ParallelCluster pcluster 基本ユーザーポリシー」を参照してください。

シークレットの値が変更された場合、クラスターは自動的に更新されません。クラスターを新しいシークレット値に更新するには、pcluster update-compute-fleet コマンドを使用してコンピューティングフリートを停止し、ヘッドノード内から次のコマンドを実行します。

$ sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

DomainReadOnlyUser (必須)String)

クラスターユーザーのログインを認証するとき、AD ドメインに ID 情報をクエリするために使用される ID。これは、 と呼ばれる SSSD-LDAP パラメータに対応しますldap_default_bind_dn。この値には AD ID 情報を使用してください。

ノード上の特定のLDAPクライアントに必要な形式で ID を指定します。

  • MicrosoftAD:

    cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com

  • SimpleAD:

    cn=ReadOnlyUser,cn=Users,dc=corp,dc=example,dc=com

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

LdapTlsCaCert (オプションString)

ドメインコントローラーの証明書を発行した証明書チェーンにある各認証機関の証明書を含む証明書バンドルへの絶対パス。これは、 と呼ばれる SSSD-LDAP パラメータに対応しますldap_tls_cacert

証明書バンドルは、Windows では DER Base64 PEM形式とも呼ばれる 形式の個別の証明書の連結で構成されるファイルです。これは、LDAPサーバーとして機能している AD ドメインコントローラーの ID を検証するために使用されます。

AWS ParallelCluster は、ノードへの証明書の初期配置については責任を負いません。クラスター管理者として、クラスターの作成後にヘッドノードの証明書を手動で設定することも、ブートストラップスクリプトを使用することもできます。または、ヘッドノードに設定された証明書を含む Amazon マシンイメージ (AMI) を使用することもできます。

Simple AD はLDAPSサポートを提供しません。Simple AD ディレクトリを と統合する方法を学ぶには AWS ParallelCluster、「」の「Simple AD のLDAPSエンドポイントを設定する方法」を参照してください。 AWS セキュリティブログ

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

LdapTlsReqCert (オプションString)

TLS セッションでサーバー証明書に対して実行するチェックを指定します。これは、 と呼ばれる SSSD-LDAP パラメータに対応しますldap_tls_reqcert

有効な値: neverallowtrydemand、および hard

neverallow、および try は、証明書の問題が見つかった場合でも接続を続行できるようにします。

demand および hard は、証明書に問題がない場合でも通信を継続できるようにします。

クラスター管理者が証明書の検証の成功を必要としない値を使用した場合、警告メッセージが管理者に返されます。セキュリティ上の理由から、証明書の検証を無効にしないことをお勧めします。

デフォルト値は hard です。

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

LdapAccessFilter (オプションString)

ディレクトリアクセスを一部のユーザーに制限するフィルターを指定します。このプロパティは、 と呼ばれる SSSD-LDAP パラメータに対応しますldap_access_filter。これを使用して、多数のユーザーをサポートする AD へのクエリに制限できます。

このフィルターは、クラスターへのユーザーアクセスをブロックできます。ただし、ブロックされたユーザーの検出性には影響しません。

このプロパティが設定されている場合、 SSSDパラメータaccess_providerは によってldap内部的に に設定されます。 AWS ParallelCluster および は / DirectoryService AdditionalSssdConfigs設定で変更しないでください。

このプロパティを省略し、カスタマイズされたユーザーアクセスを DirectoryService/AdditionalSssdConfigs で指定していない場合、ディレクトリ内のすべてのユーザーがクラスターにアクセスできます。

例:

"!(cn=SomeUser*)"  # denies access to every user with alias starting with "SomeUser"
"(cn=SomeUser*)"   # allows access to every user with alias starting with "SomeUser"
"memberOf=cn=TeamOne,ou=Users,ou=CORP,dc=corp,dc=example,dc=com" # allows access only to users in group "TeamOne".

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

GenerateSshKeysForUsers (オプションBoolean)

以下を行うかどうかを定義します。 AWS ParallelCluster は、ヘッドノードでの最初の認証の直後に、クラスターユーザーの SSHキーを生成します。

に設定するとtrue、ヘッドノードでの最初の認証後USER_HOME_DIRECTORY/.ssh/id_rsa、すべてのユーザーに対してSSHキーが生成され、存在しない場合は に保存されます。

ヘッドノードでまだ認証されていないユーザーの場合、次のような場合に初回認証が行われます。

  • ユーザーが自身のパスワードで初めてヘッドノードにログインします。

  • ヘッドノードで、sudoer が初めてそのユーザーに切り替えます。su USERNAME

  • ヘッドノードで、sudoer が初めてそのユーザーとしてコマンドを実行します。su -u USERNAME COMMAND

ユーザーは、クラスターヘッドノードとコンピューティングノードへの後続のログインに SSHキーを使用できます。で AWS ParallelCluster、クラスターコンピューティングノードへのパスワードログインは、設計上無効になっています。ユーザーがヘッドノードにログインしていない場合、SSHキーは生成されず、ユーザーはコンピューティングノードにログインできません。

デフォルト: true

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

AdditionalSssdConfigs (オプションDict)

クラスターインスタンスの設定SSSDファイルに書き込むSSSDパラメータと値を含むキーと値のペアの dict。SSSD 設定ファイルの詳細については、 SSSDおよび関連する設定ファイルのインスタンス上の管理ページを参照してください。

SSSD パラメータと値は と互換性がある必要があります AWS ParallelCluster次のリストで説明されている SSSDの設定。

  • id_provider は、 によってldap内部的に に設定されます。 AWS ParallelCluster および は変更しないでください。

  • access_provider は、 によってldap内部的に に設定されます。 AWS ParallelCluster / DirectoryService LdapAccessFilterが指定されている場合、この設定は変更しないでください。

    DirectoryService/LdapAccessFilter を省略すると、その access_provider の指定も省略されます。例えば、AdditionalSssdConfigsaccess_providersimple に設定した場合、DirectoryService/LdapAccessFilter は指定しないでください。

次の設定スニペットは、AdditionalSssdConfigs の有効な設定の例です。

この例では、SSSDログのデバッグレベルを有効にし、検索ベースを特定の組織単位に制限し、認証情報のキャッシュを無効にします。

DirectoryService:
  ...
  AdditionalSssdConfigs:
    debug_level: "0xFFF0"
    ldap_search_base: OU=Users,OU=CORP,DC=corp,DC=example,DC=com
    cache_credentials: False

この例では、 SSSD simple の設定を指定しますaccess_providerEngineeringTeam からのユーザーにはディレクトリへのアクセス許可が与えられます。この場合、DirectoryService/LdapAccessFilter は設定できません。

DirectoryService:
  ...
  AdditionalSssdConfigs:
    access_provider: simple
    simple_allow_groups: EngineeringTeam

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。