Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# `DirectoryService` Abschnitt
**Anmerkung**
Support für `DirectoryService` wurde in AWS ParallelCluster Version 3.1.1 hinzugefügt.
**(Optional)** Die Verzeichnisdiensteinstellungen für einen Cluster, der den Zugriff mehrerer Benutzer unterstützt.
AWS ParallelCluster verwaltet Berechtigungen, die den Zugriff mehrerer Benutzer auf Cluster mit einem Active Directory (AD) über das Lightweight Directory Access Protocol (LDAP) unterstützen, das vom [System Security Services Daemon (SSSD](https://sssd.io/docs/introduction.html)) unterstützt wird. [Weitere Informationen finden Sie unter Was ist? AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html) im *AWS Directory Service Administratorhandbuch*.
Wir empfehlen die Verwendung von LDAP over TLS/SSL (kurz LDAPS abgekürzt), um sicherzustellen, dass potenziell vertrauliche Informationen über verschlüsselte Kanäle übertragen werden.
```
DirectoryService:
DomainName: string
DomainAddr: string
PasswordSecretArn: string
DomainReadOnlyUser: string
LdapTlsCaCert: string
LdapTlsReqCert: string
LdapAccessFilter: string
GenerateSshKeysForUsers: boolean
AdditionalSssdConfigs: dict
```
[Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
## `DirectoryService`-Eigenschaften
**Anmerkung**
Wenn Sie die Nutzung AWS ParallelCluster in einem einzelnen Subnetz ohne Internetzugang planen, finden Sie weitere Anforderungen unter[AWS ParallelCluster in einem einzigen Subnetz ohne Internetzugang](aws-parallelcluster-in-a-single-public-subnet-no-internet-v3.md).
`DomainName`(**Erforderlich**,`String`)
Die Active Directory-Domäne (AD), die Sie für Identitätsinformationen verwenden.
`DomainName`akzeptiert sowohl die Formate Fully Qualified Domain Name (FQDN) als auch LDAP Distinguished Name (DN).
+ Beispiel für einen FQDN: `corp.example.com`
+ Beispiel für einen LDAP-DN: `DC=corp,DC=example,DC=com`
Diese Eigenschaft entspricht dem aufgerufenen sssd-ldap-Parameter. `ldap_search_base`
[Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`DomainAddr`**(Erforderlich,)** `String`
Der URI oder URIs dieser verweist auf den AD-Domänencontroller, der als LDAP-Server verwendet wird. Die URI entspricht dem aufgerufenen SSSD-LDAP-Parameter. `ldap_uri` Der Wert kann eine durch Kommas getrennte Zeichenfolge von sein. URIs Um LDAP zu verwenden, müssen Sie am Anfang jeder URI etwas hinzufügen`ldap://`.
Beispielwerte:
```
ldap://192.0.2.0,ldap://203.0.113.0 # LDAP
ldaps://192.0.2.0,ldaps://203.0.113.0 # LDAPS without support for certificate verification
ldaps://abcdef01234567890.corp.example.com # LDAPS with support for certificate verification
192.0.2.0,203.0.113.0 # AWS ParallelCluster uses LDAPS by default
```
Wenn Sie LDAPS mit Zertifikatsverifizierung verwenden, URIs müssen es sich um Hostnamen handeln.
Wenn Sie LDAPS ohne Zertifikatsverifizierung oder LDAP verwenden, URIs können dies Hostnamen oder IP-Adressen sein.
Verwenden Sie LDAP over TLS/SSL (LDAPS), um die Übertragung von Passwörtern und anderen vertraulichen Informationen über unverschlüsselte Kanäle zu verhindern. Wenn AWS ParallelCluster kein Protokoll gefunden wird, wird es am Anfang jeder URI oder jedes Hostnamens hinzugefügt`ldaps://`.
[Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`PasswordSecretArn`(**Erforderlich**,`String`)
Der Amazon-Ressourcenname (ARN) des AWS Secrets Manager Geheimnisses, das das `DomainReadOnlyUser` Klartext-Passwort enthält. Der Inhalt des Geheimnisses entspricht dem aufgerufenen SSSD-LDAP-Parameter. `ldap_default_authtok`
Wenn Sie die AWS Secrets Manager Konsole verwenden, um ein Geheimnis zu erstellen, achten Sie darauf, „Andere Art von Geheimnis“ und Klartext auszuwählen und nur den Passworttext in das Geheimnis aufzunehmen.
Weitere Informationen zur Erstellung eines Geheimnisses finden Sie AWS Secrets Manager unter [Create an AWS Secrets Manager](https://docs.aws.amazon.com//secretsmanager/latest/userguide/create_secret) Secret
Der LDAP-Client verwendet das Passwort, um sich bei der AD-Domäne zu authentifizieren, `DomainReadOnlyUser` wenn er Identitätsinformationen anfordert.
Ob der Benutzer dazu berechtigt `PasswordSecretArn` ist [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html), wird überprüft. `PasswordSecretArn`ist gültig, wenn das angegebene Geheimnis existiert. Wenn die Benutzer-IAM-Richtlinie dies nicht beinhaltet`DescribeSecret`, `PasswordSecretArn` nicht validiert wird und eine Warnmeldung angezeigt wird. Weitere Informationen finden Sie unter [AWS ParallelCluster `pcluster`Grundlegende Benutzerrichtlinie](iam-roles-in-parallelcluster-v3.md#iam-roles-in-parallelcluster-v3-base-user-policy).
Wenn sich der Wert des Geheimnisses ändert, wird der Cluster *nicht* automatisch aktualisiert. Um den Cluster für den neuen geheimen Wert zu aktualisieren, müssen Sie die Rechenflotte mit dem [`pcluster update-compute-fleet`](pcluster.update-compute-fleet-v3.md) Befehl beenden und dann den folgenden Befehl vom Hauptknoten aus ausführen.
```
$ sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh
```
[Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`DomainReadOnlyUser`(**Erforderlich**,`String`)
Die Identität, die verwendet wird, um die AD-Domäne bei der Authentifizierung von Cluster-Benutzeranmeldungen nach Identitätsinformationen abzufragen. Sie entspricht dem aufgerufenen SSSD-LDAP-Parameter. `ldap_default_bind_dn` Verwenden Sie Ihre AD-Identitätsinformationen für diesen Wert.
Geben Sie die Identität in der Form an, die für den spezifischen LDAP-Client erforderlich ist, der sich auf dem Knoten befindet:
+ Microsoft AD:
```
cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com
```
+ Einfache Anzeige:
```
cn=ReadOnlyUser,cn=Users,dc=corp,dc=example,dc=com
```
[Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`LdapTlsCaCert`(**Fakultativ**,`String`)
Der absolute Pfad zu einem Zertifikatspaket, das die Zertifikate für jede Zertifizierungsstelle in der Zertifizierungskette enthält, die ein Zertifikat für die Domänencontroller ausgestellt hat. Er entspricht dem aufgerufenen SSSD-LDAP-Parameter. `ldap_tls_cacert`
Ein Zertifikatspaket ist eine Datei, die aus der Verkettung verschiedener Zertifikate im PEM-Format besteht, das in Windows auch als DER Base64-Format bezeichnet wird. Es wird verwendet, um die Identität des AD-Domänencontrollers zu überprüfen, der als LDAP-Server fungiert.
AWS ParallelCluster ist nicht verantwortlich für die anfängliche Platzierung von Zertifikaten auf Knoten. Als Clusteradministrator können Sie das Zertifikat im Hauptknoten manuell konfigurieren, nachdem der Cluster erstellt wurde, oder Sie können ein [Bootstrap-Skript](custom-bootstrap-actions-v3.md) verwenden. Alternativ können Sie ein Amazon Machine Image (AMI) verwenden, das das auf dem Hauptknoten konfigurierte Zertifikat enthält.
[Simple AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_simple_ad.html) bietet keine LDAPS-Unterstützung. Informationen zur Integration eines Simple AD-Verzeichnisses finden Sie unter [So konfigurieren Sie einen LDAPS-Endpunkt für Simple AD](https://aws.amazon.com/blogs/security/how-to-configure-ldaps-endpoint-for-simple-ad/) im *AWS Sicherheitsblog*. AWS ParallelCluster
[Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`LdapTlsReqCert`(**Optional**,`String`)
Gibt an, welche Prüfungen an Serverzertifikaten in einer TLS-Sitzung durchgeführt werden sollen. Es entspricht dem aufgerufenen SSSD-LDAP-Parameter. `ldap_tls_reqcert`
Gültige Werte: `never`, `allow`, `try`, `demand` und `hard`.
`never`, und `try` ermöglichen`allow`, dass Verbindungen auch dann fortgeführt werden können, wenn Probleme mit Zertifikaten gefunden werden.
`demand`und `hard` ermöglichen die Fortsetzung der Kommunikation, falls keine Probleme mit Zertifikaten gefunden werden.
Wenn der Clusteradministrator einen Wert verwendet, für den die erfolgreiche Überprüfung des Zertifikats nicht erforderlich ist, wird eine Warnmeldung an den Administrator zurückgegeben. Aus Sicherheitsgründen empfehlen wir, die Zertifikatsüberprüfung nicht zu deaktivieren.
Der Standardwert ist `hard`.
[Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`LdapAccessFilter`(**Fakultativ**,`String`)
Gibt einen Filter an, um den Verzeichniszugriff auf eine Untergruppe von Benutzern zu beschränken. Diese Eigenschaft entspricht dem aufgerufenen SSSD-LDAP-Parameter. `ldap_access_filter` Sie können damit Abfragen auf ein AD beschränken, das eine große Anzahl von Benutzern unterstützt.
Dieser Filter kann den Benutzerzugriff auf den Cluster blockieren. Er hat jedoch keinen Einfluss auf die Auffindbarkeit blockierter Benutzer.
Wenn diese Eigenschaft festgelegt ist, wird der SSSD-Parameter `access_provider` auf `ldap` intern von gesetzt AWS ParallelCluster und darf nicht durch die Einstellungen von [`DirectoryService`](#DirectoryService-v3)/[`AdditionalSssdConfigs`](#yaml-DirectoryService-AdditionalSssdConfigs)geändert werden.
Wenn diese Eigenschaft weggelassen wird und kein benutzerdefinierter Benutzerzugriff in [`DirectoryService`](#DirectoryService-v3)/angegeben ist [`AdditionalSssdConfigs`](#yaml-DirectoryService-AdditionalSssdConfigs), können alle Benutzer im Verzeichnis auf den Cluster zugreifen.
Beispiele:
```
"!(cn=SomeUser*)" # denies access to every user with an alias that starts with "SomeUser"
"(cn=SomeUser*)" # allows access to every user with alias that starts with "SomeUser"
"memberOf=cn=TeamOne,ou=Users,ou=CORP,dc=corp,dc=example,dc=com" # allows access only to users in group "TeamOne".
```
[Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`GenerateSshKeysForUsers`(**Optional**,`Boolean`)
Definiert, ob unmittelbar nach ihrer ersten Authentifizierung auf dem Hauptknoten ein SSH-Schlüssel für Clusterbenutzer AWS ParallelCluster generiert wird.
Wenn auf gesetzt`true`, wird für jeden Benutzer nach seiner ersten Authentifizierung auf dem Hauptknoten ein SSH-Schlüssel generiert und gespeichert, falls er nicht existiert. `USER_HOME_DIRECTORY/.ssh/id_rsa`
Für einen Benutzer, der noch nicht auf dem Hauptknoten authentifiziert wurde, kann die erste Authentifizierung in den folgenden Fällen erfolgen:
+ Der Benutzer meldet sich zum ersten Mal mit seinem eigenen Passwort am Hauptknoten an.
+ Im Hauptknoten wechselt ein Sudoer zum ersten Mal zum Benutzer: `su USERNAME`
+ Im Hauptknoten führt ein Sudoer zum ersten Mal einen Befehl als Benutzer aus: `su -u USERNAME COMMAND`
Benutzer können den SSH-Schlüssel für nachfolgende Anmeldungen am Cluster-Kopfknoten und den Rechenknoten verwenden. Mit AWS ParallelCluster sind Kennwortanmeldungen an Cluster-Rechenknoten standardmäßig deaktiviert. Wenn sich ein Benutzer nicht am Hauptknoten angemeldet hat, werden keine SSH-Schlüssel generiert und der Benutzer kann sich nicht bei Rechenknoten anmelden.
Der Standardwert ist `true`.
[Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`AdditionalSssdConfigs`(**Optional**,`Dict`)
Ein Wörterbuch mit Schlüssel-Wert-Paaren, die SSSD-Parameter und Werte enthalten, die in die SSSD-Konfigurationsdatei auf Cluster-Instances geschrieben werden sollen. Eine vollständige Beschreibung der SSSD-Konfigurationsdatei finden Sie in den Manpages auf der Instanz und den zugehörigen Konfigurationsdateien. `SSSD`
Die SSSD-Parameter und -Werte müssen mit AWS ParallelCluster der SSSD-Konfiguration kompatibel sein, wie in der folgenden Liste beschrieben.
+ `id_provider`ist auf `ldap` intern von gesetzt AWS ParallelCluster und darf nicht geändert werden.
+ `access_provider`ist auf `ldap` intern gesetzt, AWS ParallelCluster wenn [`DirectoryService`](#DirectoryService-v3)/angegeben [`LdapAccessFilter`](#yaml-DirectoryService-LdapAccessFilter)wird, und diese Einstellung darf nicht geändert werden.
Wenn [`DirectoryService`](#DirectoryService-v3)/weggelassen [`LdapAccessFilter`](#yaml-DirectoryService-LdapAccessFilter)wird, wird auch seine `access_provider` Angabe weggelassen. Wenn Sie beispielsweise `access_provider` auf `simple` in setzen [`AdditionalSssdConfigs`](#yaml-DirectoryService-AdditionalSssdConfigs), [`LdapAccessFilter`](#yaml-DirectoryService-LdapAccessFilter)darf [`DirectoryService`](#DirectoryService-v3)/nicht angegeben werden.
Die folgenden Konfigurationsausschnitte sind Beispiele für gültige Konfigurationen für. `AdditionalSssdConfigs`
In diesem Beispiel wird die Debug-Ebene für SSSD-Protokolle aktiviert, die Suchbasis auf eine bestimmte Organisationseinheit beschränkt und das Zwischenspeichern von Anmeldeinformationen deaktiviert.
```
DirectoryService:
...
AdditionalSssdConfigs:
debug_level: "0xFFF0"
ldap_search_base: OU=Users,OU=CORP,DC=corp,DC=example,DC=com
cache_credentials: False
```
Dieses Beispiel spezifiziert die Konfiguration einer SSSD. [https://www.mankier.com/5/sssd-simple](https://www.mankier.com/5/sssd-simple)`access_provider` Benutzern aus dem `EngineeringTeam` wird Zugriff auf das Verzeichnis gewährt. [`DirectoryService`](#DirectoryService-v3)/[`LdapAccessFilter`](#yaml-DirectoryService-LdapAccessFilter)darf in diesem Fall nicht gesetzt werden.
```
DirectoryService:
...
AdditionalSssdConfigs:
access_provider: simple
simple_allow_groups: EngineeringTeam
```
[Aktualisierungsrichtlinie: Die Rechenflotte muss gestoppt werden, damit diese Einstellung für ein Update geändert werden kann.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)