DirectoryService Abschnitt

Die Active Directory-Domäne (AD), die Sie für Identitätsinformationen verwenden.

DomainNameakzeptiert sowohl die Formate Fully Qualified Domain Name (FQDN) als auch LDAP Distinguished Name (DN).

Diese Eigenschaft entspricht dem aufgerufenen sssd-ldap-Parameter. ldap_search_base

Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.

Der URI oder URIs dieser verweist auf den AD-Domänencontroller, der als LDAP-Server verwendet wird. Die URI entspricht dem aufgerufenen SSSD-LDAP-Parameter. ldap_uri Der Wert kann eine durch Kommas getrennte Zeichenfolge von sein. URIs Um LDAP zu verwenden, müssen Sie am Anfang jeder URI etwas hinzufügenldap://.

Beispielwerte:

ldap://192.0.2.0,ldap://203.0.113.0          # LDAP
ldaps://192.0.2.0,ldaps://203.0.113.0        # LDAPS without support for certificate verification
ldaps://abcdef01234567890.corp.example.com  # LDAPS with support for certificate verification
192.0.2.0,203.0.113.0                        # AWS ParallelCluster uses LDAPS by default

Wenn Sie LDAPS mit Zertifikatsverifizierung verwenden, URIs müssen es sich um Hostnamen handeln.

Wenn Sie LDAPS ohne Zertifikatsverifizierung oder LDAP verwenden, URIs können dies Hostnamen oder IP-Adressen sein.

Verwenden Sie LDAP over TLS/SSL (LDAPS), um die Übertragung von Passwörtern und anderen vertraulichen Informationen über unverschlüsselte Kanäle zu verhindern. Wenn AWS ParallelCluster kein Protokoll gefunden wird, wird es am Anfang jeder URI oder jedes Hostnamens hinzugefügtldaps://.

Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.

Der Amazon-Ressourcenname (ARN) des AWS Secrets Manager Geheimnisses, das das DomainReadOnlyUser Klartext-Passwort enthält. Der Inhalt des Geheimnisses entspricht dem aufgerufenen SSSD-LDAP-Parameter. ldap_default_authtok

Der LDAP-Client verwendet das Passwort zur Authentifizierung bei der AD-Domäne, DomainReadOnlyUser wenn er Identitätsinformationen anfordert.

Ob der Benutzer dazu berechtigt PasswordSecretArn ist DescribeSecret, wird überprüft. PasswordSecretArnist gültig, wenn das angegebene Geheimnis existiert. Wenn die Benutzer-IAM-Richtlinie dies nicht beinhaltetDescribeSecret, PasswordSecretArn nicht validiert wird und eine Warnmeldung angezeigt wird. Weitere Informationen finden Sie unter AWS ParallelCluster pclusterGrundlegende Benutzerrichtlinie.

Wenn sich der Wert des Geheimnisses ändert, wird der Cluster nicht automatisch aktualisiert. Um den Cluster für den neuen geheimen Wert zu aktualisieren, müssen Sie die Rechenflotte mit dem pcluster update-compute-fleet Befehl beenden und dann den folgenden Befehl vom Hauptknoten aus ausführen.

$ sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh

Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.

Die Identität, die verwendet wird, um die AD-Domäne bei der Authentifizierung von Cluster-Benutzeranmeldungen nach Identitätsinformationen abzufragen. Sie entspricht dem aufgerufenen SSSD-LDAP-Parameter. ldap_default_bind_dn Verwenden Sie Ihre AD-Identitätsinformationen für diesen Wert.

Geben Sie die Identität in der Form an, die für den spezifischen LDAP-Client erforderlich ist, der sich auf dem Knoten befindet:

Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.

Der absolute Pfad zu einem Zertifikatspaket, das die Zertifikate für jede Zertifizierungsstelle in der Zertifizierungskette enthält, die ein Zertifikat für die Domänencontroller ausgestellt hat. Er entspricht dem aufgerufenen SSSD-LDAP-Parameter. ldap_tls_cacert

Ein Zertifikatspaket ist eine Datei, die aus der Verkettung verschiedener Zertifikate im PEM-Format besteht, das in Windows auch als DER Base64-Format bezeichnet wird. Es wird verwendet, um die Identität des AD-Domänencontrollers zu überprüfen, der als LDAP-Server fungiert.

AWS ParallelCluster ist nicht verantwortlich für die erstmalige Platzierung von Zertifikaten auf Knoten. Als Clusteradministrator können Sie das Zertifikat im Hauptknoten manuell konfigurieren, nachdem der Cluster erstellt wurde, oder Sie können ein Bootstrap-Skript verwenden. Alternativ können Sie ein Amazon Machine Image (AMI) verwenden, das das auf dem Hauptknoten konfigurierte Zertifikat enthält.

Simple AD bietet keine LDAPS-Unterstützung. Informationen zur Integration eines Simple AD-Verzeichnisses finden Sie unter So konfigurieren Sie einen LDAPS-Endpunkt für Simple AD im AWS Sicherheitsblog. AWS ParallelCluster

Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.

Gibt an, welche Prüfungen an Serverzertifikaten in einer TLS-Sitzung durchgeführt werden sollen. Es entspricht dem aufgerufenen SSSD-LDAP-Parameter. ldap_tls_reqcert

Gültige Werte: never, allow, try, demand und hard.

never, und try ermöglichenallow, dass Verbindungen auch dann fortgeführt werden können, wenn Probleme mit Zertifikaten gefunden werden.

demandund hard ermöglichen die Fortsetzung der Kommunikation, falls keine Probleme mit Zertifikaten gefunden werden.

Wenn der Clusteradministrator einen Wert verwendet, für den die erfolgreiche Überprüfung des Zertifikats nicht erforderlich ist, wird eine Warnmeldung an den Administrator zurückgegeben. Aus Sicherheitsgründen empfehlen wir, die Zertifikatsüberprüfung nicht zu deaktivieren.

Der Standardwert ist hard.

Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.

Gibt einen Filter an, um den Verzeichniszugriff auf eine Untergruppe von Benutzern zu beschränken. Diese Eigenschaft entspricht dem aufgerufenen SSSD-LDAP-Parameter. ldap_access_filter Sie können damit Abfragen auf ein AD beschränken, das eine große Anzahl von Benutzern unterstützt.

Dieser Filter kann den Benutzerzugriff auf den Cluster blockieren. Er hat jedoch keinen Einfluss auf die Auffindbarkeit blockierter Benutzer.

Wenn diese Eigenschaft festgelegt ist, wird der SSSD-Parameter access_provider auf ldap intern von gesetzt AWS ParallelCluster und darf nicht durch die Einstellungen von DirectoryService/AdditionalSssdConfigsgeändert werden.

Wenn diese Eigenschaft weggelassen wird und kein benutzerdefinierter Benutzerzugriff in DirectoryService/angegeben ist AdditionalSssdConfigs, können alle Benutzer im Verzeichnis auf den Cluster zugreifen.

Beispiele:

"!(cn=SomeUser*)"  # denies access to every user with an alias that starts with "SomeUser"
"(cn=SomeUser*)"   # allows access to every user with alias that starts with "SomeUser"
"memberOf=cn=TeamOne,ou=Users,ou=CORP,dc=corp,dc=example,dc=com" # allows access only to users in group "TeamOne".

Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.

Definiert, ob unmittelbar nach ihrer ersten Authentifizierung auf dem Hauptknoten ein SSH-Schlüssel für Clusterbenutzer AWS ParallelCluster generiert wird.

Wenn auf gesetzttrue, wird für jeden Benutzer nach seiner ersten Authentifizierung auf dem Hauptknoten ein SSH-Schlüssel generiert und gespeichert, falls er nicht existiert. USER_HOME_DIRECTORY/.ssh/id_rsa

Benutzer können den SSH-Schlüssel für nachfolgende Anmeldungen am Cluster-Kopfknoten und den Rechenknoten verwenden. Mit AWS ParallelCluster sind Kennwortanmeldungen an Cluster-Rechenknoten standardmäßig deaktiviert. Wenn sich ein Benutzer nicht am Hauptknoten angemeldet hat, werden keine SSH-Schlüssel generiert und der Benutzer kann sich nicht bei Rechenknoten anmelden.

Der Standardwert ist true.

Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.

Ein Wörterbuch mit Schlüssel-Wert-Paaren, die SSSD-Parameter und Werte enthalten, die in die SSSD-Konfigurationsdatei auf Cluster-Instances geschrieben werden sollen. Eine vollständige Beschreibung der SSSD-Konfigurationsdatei finden Sie in den Manpages auf der Instanz und den zugehörigen Konfigurationsdateien. SSSD

Die SSSD-Parameter und -Werte müssen mit AWS ParallelCluster der SSSD-Konfiguration kompatibel sein, wie in der folgenden Liste beschrieben.

Die folgenden Konfigurationsschnipsel sind Beispiele für gültige Konfigurationen für. AdditionalSssdConfigs

In diesem Beispiel wird die Debug-Ebene für SSSD-Protokolle aktiviert, die Suchbasis auf eine bestimmte Organisationseinheit beschränkt und das Zwischenspeichern von Anmeldeinformationen deaktiviert.

DirectoryService:
  ...
  AdditionalSssdConfigs:
    debug_level: "0xFFF0"
    ldap_search_base: OU=Users,OU=CORP,DC=corp,DC=example,DC=com
    cache_credentials: False

Dieses Beispiel spezifiziert die Konfiguration einer SSSD. simpleaccess_provider Benutzern aus dem EngineeringTeam wird Zugriff auf das Verzeichnis gewährt. DirectoryService/LdapAccessFilterdarf in diesem Fall nicht gesetzt werden.

DirectoryService:
  ...
  AdditionalSssdConfigs:
    access_provider: simple
    simple_allow_groups: EngineeringTeam

Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.