Seção DirectoryService

nota

Support for DirectoryService adicionado na AWS ParallelCluster versão 3.1.1.

(Opcional) As configurações do serviço de diretório para um cluster que oferece suporte ao acesso de vários usuários.

AWS ParallelCluster gerencia permissões que oferecem suporte ao acesso de vários usuários a clusters com um Active Directory (AD) por meio do Lightweight Directory Access Protocol (LDAP) suportado pelo System Security Services Daemon (SSSD). Para ter mais informações, consulte O que é AWS Directory Service? no Guia de administração do AWS Directory Service .

Recomendamos que você use LDAP sobre TLS/SSL (abreviado como LDAPS) para garantir que todas as informações potencialmente confidenciais sejam transmitidas por canais criptografados.

DirectoryService:
  DomainName: string
  DomainAddr: string
  PasswordSecretArn: string
  DomainReadOnlyUser: string
  LdapTlsCaCert: string
  LdapTlsReqCert: string
  LdapAccessFilter: string
  GenerateSshKeysForUsers: boolean
  AdditionalSssdConfigs: dict

Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.

Propriedades do DirectoryService

nota

Se você planeja usar AWS ParallelCluster em uma única sub-rede sem acesso à Internet, consulte AWS ParallelCluster em uma sub-rede única sem acesso à internet os requisitos adicionais.

DomainName (Obrigatório, String)

O domínio do Active Directory (AD) que você usa para obter informações de identidade.

DomainName aceita os formatos de nome de domínio totalmente qualificado (FQDN) e nome distinto (DN) do LDAP.

• Exemplo de FQDN: corp.example.com

• Exemplo de LDAP DN: DC=corp,DC=example,DC=com

Essa propriedade corresponde ao parâmetro sssd-ldap que é chamado ldap_search_base.

Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.

DomainAddr (Obrigatório, String)

O URI ou URIs que apontam para o controlador de domínio AD usado como servidor LDAP. Essa URI corresponde ao parâmetro SSSD-LDAP que é chamado ldap_uri. O valor pode ser uma sequência de URIs separada por vírgula. Para usar o LDAP, você deve adicionar ldap:// ao início de cada URI.

Valores de exemplo:

ldap://192.0.2.0,ldap://203.0.113.0          # LDAP
ldaps://192.0.2.0,ldaps://203.0.113.0        # LDAPS without support for certificate verification
ldaps://abcdef01234567890.corp.example.com  # LDAPS with support for certificate verification
192.0.2.0,203.0.113.0                        # AWS ParallelCluster uses LDAPS by default

Se você usa LDAPS com verificação de certificado, os URIs devem ser nomes de host.

Se você usa LDAPS sem verificação de certificado ou LDAP, os URIs podem ser nomes de host ou endereços IP.

Use LDAP sobre TLS/SSL (LDAPS) para evitar a transmissão de senhas e outras informações confidenciais por canais não criptografados. Se AWS ParallelCluster não encontrar um protocolo, ele adicionará ldaps:// ao início de cada URI ou nome de host.

Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.

PasswordSecretArn (Obrigatório, String)

O Amazon Resource Name (ARN) do AWS Secrets Manager segredo que contém a senha em texto DomainReadOnlyUser simples. Esse conteúdo do segredo corresponde ao parâmetro SSSD-LDAP que é chamado ldap_default_authtok.

nota

Ao criar um segredo usando o AWS Secrets Manager console, certifique-se de selecionar “Outro tipo de segredo”, selecionar texto simples e incluir apenas o texto da senha no segredo.

Para obter mais informações sobre como usar AWS Secrets Manager para criar um segredo, consulte Criar um AWS Secrets Manager segredo.

O cliente LDAP usa a senha para se autenticar no domínio AD como um DomainReadOnlyUser ao solicitar informações de identidade.

Se o usuário tiver a permissão para DescribeSecret, PasswordSecretArn é validado. PasswordSecretArn é válido se o segredo especificado existir. Se a política do IAM do usuário não incluir DescribeSecret, PasswordSecretArn não for validada e uma mensagem de aviso será exibida. Para ter mais informações, consulte Política básica de usuário pcluster do AWS ParallelCluster.

Quando o valor do segredo muda, o cluster não é atualizado automaticamente. Para atualizar o cluster para o novo valor secreto, você deve interromper a frota de computação com o comando pcluster update-compute-fleet e, em seguida, executar o comando a seguir a partir do nó principal.

$ sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh

Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.

DomainReadOnlyUser (Obrigatório, String)

A identidade usada para consultar o domínio do AD para obter informações de identidade ao autenticar logins de usuários do cluster. Ele corresponde ao parâmetro SSSD-LDAP que é chamado ldap_default_bind_dn. Use suas informações de identidade do AD para esse valor.

Especifique a identidade no formato exigido pelo cliente LDAP específico que está no nó:

• MicrosoftAD:

  cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com

• SimpleAD:

  cn=ReadOnlyUser,cn=Users,dc=corp,dc=example,dc=com

Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.

LdapTlsCaCert (Opcional, String)

O caminho absoluto para um pacote de certificados contendo os certificados de cada autoridade de certificação na cadeia de certificação que emitiu um certificado para os controladores de domínio. Ele corresponde ao parâmetro SSSD-LDAP que é chamado ldap_tls_cacert.

Um pacote de certificados é um arquivo composto pela concatenação de certificados distintos no formato PEM, também conhecido como formato DER Base64 no Windows. Ele é usado para verificar a identidade do controlador de domínio AD que está atuando como servidor LDAP.

AWS ParallelCluster não é responsável pela colocação inicial dos certificados nos nós. Como administrador do cluster, você pode configurar o certificado no nó principal manualmente após a criação do cluster ou usar um script de bootstrap. Como alternativa, é possível usar uma imagem de máquina da Amazon (AMI) que inclua o certificado configurado no nó principal.

O Simple AD não oferece suporte a LDAPS. Para saber como integrar um diretório Simple AD com AWS ParallelCluster, consulte Como configurar um endpoint LDAPS para o Simple AD no blog de AWS segurança.

Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.

LdapTlsReqCert (Opcional, String)

Especifica quais verificações devem ser realizadas nos certificados do servidor em uma sessão TLS. Ele corresponde ao parâmetro SSSD-LDAP que é chamado ldap_tls_reqcert.

Valores válidos: never, allow, try, demand e hard.

never, allow e try permite que as conexões continuem mesmo se forem encontrados problemas com os certificados.

demand e hard permite que a comunicação continue se nenhum problema com os certificados for encontrado.

Se o administrador do cluster usar um valor que não exija que a validação do certificado seja bem-sucedida, uma mensagem de aviso será retornada ao administrador. Por motivos de segurança, recomendamos que você não desabilite a verificação do certificado.

O valor padrão é hard.

Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.

LdapAccessFilter (Opcional, String)

Especifica um filtro para limitar o acesso ao diretório a um subconjunto de usuários. Essa propriedade corresponde ao parâmetro SSSD-LDAP que é chamado ldap_access_filter. Você pode usá-lo para limitar as consultas a um AD que ofereça suporte a um grande número de usuários.

Esse filtro pode bloquear o acesso do usuário ao cluster. No entanto, isso não afeta a capacidade de descoberta de usuários bloqueados.

Se essa propriedade for definida, o parâmetro SSSD access_provider será definido como ldap internamente pelo AWS ParallelCluster e não deverá ser modificado pelas configurações DirectoryService / AdditionalSssdConfigs.

Se essa propriedade for omitida e o acesso personalizado do usuário não for especificado em DirectoryService / AdditionalSssdConfigs, todos os usuários no diretório poderão acessar o cluster.

Exemplos:

"!(cn=SomeUser*)"  # denies access to every user with alias starting with "SomeUser"
"(cn=SomeUser*)"   # allows access to every user with alias starting with "SomeUser"
"memberOf=cn=TeamOne,ou=Users,ou=CORP,dc=corp,dc=example,dc=com" # allows access only to users in group "TeamOne".

Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.

GenerateSshKeysForUsers (Opcional, Boolean)

Define se AWS ParallelCluster gera uma chave SSH para usuários do cluster imediatamente após a autenticação inicial no nó principal.

Se definido como true, uma chave SSH é gerada e salva USER_HOME_DIRECTORY/.ssh/id_rsa, se não existir, para cada usuário após a primeira autenticação no nó principal.

Para um usuário que ainda não foi autenticado no nó principal, a primeira autenticação pode ocorrer nos seguintes casos:

• O usuário faz login no nó principal pela primeira vez com sua própria senha.

• No nó principal, um sudoer muda para o usuário pela primeira vez: su USERNAME

• No nó principal, um sudoer executa um comando como usuário pela primeira vez: su -u USERNAME COMMAND

Os usuários podem usar a chave SSH para logins subsequentes no nó principal do cluster e nos nós de computação. Com AWS ParallelCluster, os logins com senha nos nós de computação do cluster são desativados por design. Se um usuário não estiver conectado ao nó principal, as chaves SSH não serão geradas e o usuário não poderá fazer login nos nós de computação.

O padrão é true.

Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.

AdditionalSssdConfigs (Opcional, Dict)

Um dicionário de pares de valores-chave contendo parâmetros e valores SSSD para gravar no arquivo de configuração SSSD em instâncias de cluster. Para obter uma descrição completa do arquivo de configuração SSSD, consulte as páginas do manual na instância SSSD e os arquivos de configuração relacionados.

Os parâmetros e valores do SSSD devem ser compatíveis com a configuração AWS ParallelCluster do SSSD, conforme descrito na lista a seguir.

• id_providerestá definido como ldap internamente por AWS ParallelCluster e não deve ser modificado.

• access_provideré definido como ldap internamente AWS ParallelCluster quando DirectoryService/LdapAccessFilteré especificado, e essa configuração não deve ser modificada.

  Se DirectoryService / LdapAccessFilter for omitido, sua especificação access_provider também será omitida. Por exemplo, se você definir access_provider como simple no AdditionalSssdConfigs, então DirectoryService / LdapAccessFilter deverá ser especificado.

Os trechos de configuração a seguir são exemplos de configurações válidas para AdditionalSssdConfigs.

Este exemplo ativa o nível de depuração para registros SSSD, restringe a base de pesquisa a uma unidade organizacional específica e desativa o cache de credenciais.

DirectoryService:
  ...
  AdditionalSssdConfigs:
    debug_level: "0xFFF0"
    ldap_search_base: OU=Users,OU=CORP,DC=corp,DC=example,DC=com
    cache_credentials: False

Este exemplo especifica a configuração de um SSSD simple access_provider. Os usuários do EngineeringTeam têm acesso ao diretório. DirectoryService / LdapAccessFilter não deve ser definido neste caso.

DirectoryService:
  ...
  AdditionalSssdConfigs:
    access_provider: simple
    simple_allow_groups: EngineeringTeam

Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.