Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Sección de `DirectoryService`
**nota**
El soporte para `DirectoryService` se agregó en la AWS ParallelCluster versión 3.1.1.
**(Opcional)** La configuración del servicio de directorio para un clúster que admite el acceso de varios usuarios.
AWS ParallelCluster administra los permisos que permiten el acceso de varios usuarios a los clústeres con un Active Directory (AD) mediante el Protocolo ligero de acceso a directorios (LDAP) compatible con el [Demonio de Servicios de Seguridad del Sistema (SSSD](https://sssd.io/docs/introduction.html)). [Para obtener más información, consulte ¿Qué es? AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html) en la *Guía AWS Directory Service de administración*.
Le recomendamos que utilice LDAP en lugar de LDAP TLS/SSL (abreviado LDAPS, por sus siglas en inglés) para garantizar que cualquier información potencialmente confidencial se transmita a través de canales cifrados.
```
DirectoryService:
DomainName: string
DomainAddr: string
PasswordSecretArn: string
DomainReadOnlyUser: string
LdapTlsCaCert: string
LdapTlsReqCert: string
LdapAccessFilter: string
GenerateSshKeysForUsers: boolean
AdditionalSssdConfigs: dict
```
[Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
## Propiedades de `DirectoryService`
**nota**
Si planea utilizarla AWS ParallelCluster en una sola subred sin acceso a Internet, consulte los requisitos adicionales. [AWS ParallelCluster en una sola subred sin acceso a Internet](aws-parallelcluster-in-a-single-public-subnet-no-internet-v3.md)
`DomainName` (**Requerido**, `String`)
El dominio de Active Directory (AD) que utiliza para la información de identidad.
`DomainName`acepta los formatos de nombre de dominio completo (FQDN) y nombre de dominio completo (DN).
+ Ejemplo de FQDN: `corp.example.com`
+ Ejemplo de DN de LDAP: `DC=corp,DC=example,DC=com`
Esta propiedad corresponde al parámetro sssd-ldap que se llama. `ldap_search_base`
[Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`DomainAddr` (**Requerido**, `String`)
El URI o los URIs que apuntan al controlador de dominio de AD que se utiliza como servidor LDAP. El URI corresponde al parámetro SSSD-LDAP al que se llama. `ldap_uri` El valor puede ser una cadena separada por comas de. URIs Para usar LDAP, debe agregarlo `ldap://` al principio de cada URI.
Valores de ejemplo:
```
ldap://192.0.2.0,ldap://203.0.113.0 # LDAP
ldaps://192.0.2.0,ldaps://203.0.113.0 # LDAPS without support for certificate verification
ldaps://abcdef01234567890.corp.example.com # LDAPS with support for certificate verification
192.0.2.0,203.0.113.0 # AWS ParallelCluster uses LDAPS by default
```
Si usa LDAPS con verificación de certificados, URIs deben ser nombres de host.
Si utiliza LDAPS sin verificación de certificado o LDAP, URIs pueden ser nombres de host o direcciones IP.
Utilice LDAP over TLS/SSL (LDAPS) para evitar la transmisión de contraseñas y otra información confidencial a través de canales no cifrados. Si AWS ParallelCluster no encuentra un protocolo, lo añade `ldaps://` al principio de cada URI o nombre de host.
[Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`PasswordSecretArn` (**Requerido**, `String`)
El nombre de recurso de Amazon (ARN) del AWS Secrets Manager secreto que contiene la contraseña en texto `DomainReadOnlyUser` simple. El contenido del secreto corresponde al parámetro SSSD-LDAP al que se llama. `ldap_default_authtok`
Cuando utilice la AWS Secrets Manager consola para crear un secreto, asegúrese de seleccionar «Otro tipo de secreto», seleccionar texto sin formato e incluir solo el texto de la contraseña en el secreto.
Para obtener más información sobre cómo AWS Secrets Manager crear un secreto, consulta [Crear un AWS Secrets Manager](https://docs.aws.amazon.com//secretsmanager/latest/userguide/create_secret) secreto
El cliente LDAP usa la contraseña para autenticarse en el dominio AD, por ejemplo, `DomainReadOnlyUser` cuando solicita información de identidad.
Si el usuario tiene el permiso para [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html), se valida `PasswordSecretArn`. `PasswordSecretArn` es válido si el secreto especificado existe. Si la política de IAM del usuario no la incluye `DescribeSecret`, `PasswordSecretArn` no está validada y aparece un mensaje de advertencia. Para obtener más información, consulte [Política de usuario básica `pcluster` de AWS ParallelCluster](iam-roles-in-parallelcluster-v3.md#iam-roles-in-parallelcluster-v3-base-user-policy).
Cuando el valor del secreto cambia, el clúster *no* se actualiza automáticamente. Para actualizar el clúster para el nuevo valor secreto, debe detener la flota de computación con el comando [`pcluster update-compute-fleet`](pcluster.update-compute-fleet-v3.md) y, luego, ejecutar el siguiente comando desde dentro del nodo principal.
```
$ sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh
```
[Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`DomainReadOnlyUser` (**Requerido**, `String`)
La identidad que se usa para consultar la información de identidad en el dominio de AD al autenticar los inicios de sesión de los usuarios del clúster. Corresponde al parámetro SSSD-LDAP al que se llama. `ldap_default_bind_dn` Use su información de identidad de AD para este valor.
Especifique la identidad en el formulario requerido por el cliente LDAP específico que se encuentra en el nodo:
+ Microsoft AD:
```
cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com
```
+ SimpleAD:
```
cn=ReadOnlyUser,cn=Users,dc=corp,dc=example,dc=com
```
[Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`LdapTlsCaCert` (**Opcional**, `String`)
La ruta absoluta a un paquete de certificados que contiene los certificados de cada entidad emisora de certificados de la cadena de certificación que emitió un certificado para los controladores de dominio. Corresponde al parámetro SSSD-LDAP que se llama. `ldap_tls_cacert`
Un paquete de certificados es un archivo compuesto por la concatenación de distintos certificados en formato PEM, también conocido como formato DER Base64 en Windows. Se utiliza para comprobar la identidad del controlador de dominio de AD que actúa como servidor LDAP.
AWS ParallelCluster no es responsable de la colocación inicial de los certificados en los nodos. Como administrador del clúster, puede configurar el certificado en el nodo principal manualmente después de crear el clúster o puede utilizar un [script de arranque.](custom-bootstrap-actions-v3.md) También puede utilizar una Imagen de máquina de Amazon (AMI) que incluya el certificado configurado en el nodo principal.
[Simple AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_simple_ad.html) no admite LDAPS. Para obtener información sobre cómo integrar un directorio AD simple con AWS ParallelCluster, consulte [Cómo configurar un punto final LDAPS para AD simple](https://aws.amazon.com/blogs/security/how-to-configure-ldaps-endpoint-for-simple-ad/) en el *blog de AWS seguridad*.
[Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`LdapTlsReqCert` (**Opcional**, `String`)
Especifica qué comprobaciones se deben realizar en los certificados de servidor en una sesión de TLS. Corresponde al parámetro SSSD-LDAP que se llama. `ldap_tls_reqcert`
Valores válidos: `never`, `allow`, `try`, `demand` y `hard`.
`never``allow`, y `try` permiten que las conexiones continúen aunque se detecten problemas con los certificados.
`demand`y `hard` permita que la comunicación continúe si no se detecta ningún problema con los certificados.
Si el administrador del clúster utiliza un valor que no requiere que la validación del certificado se realice correctamente, se le devuelve un mensaje de advertencia. Por motivos de seguridad, recomendamos que no inhabilite la verificación de certificados.
El valor predeterminado es `hard`.
[Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`LdapAccessFilter` (**Opcional**, `String`)
Especifica un filtro para limitar el acceso al directorio a un subconjunto de usuarios. Esta propiedad corresponde al parámetro SSSD-LDAP que se llama. `ldap_access_filter` Puede usarla para limitar las consultas a un AD que admita un gran número de usuarios.
Este filtro puede bloquear el acceso de los usuarios al clúster. Sin embargo, no afecta a la capacidad de detección de los usuarios bloqueados.
Si se establece esta propiedad, el parámetro SSSD `access_provider` se establece `ldap` internamente mediante la configuración [`DirectoryService`](#DirectoryService-v3)/ AWS ParallelCluster [`AdditionalSssdConfigs`](#yaml-DirectoryService-AdditionalSssdConfigs)y no se debe modificar mediante ella.
Si se omite esta propiedad y el acceso personalizado de los usuarios no se especifica en [`DirectoryService`](#DirectoryService-v3)/[`AdditionalSssdConfigs`](#yaml-DirectoryService-AdditionalSssdConfigs), todos los usuarios del directorio pueden acceder al clúster.
Ejemplos:
```
"!(cn=SomeUser*)" # denies access to every user with an alias that starts with "SomeUser"
"(cn=SomeUser*)" # allows access to every user with alias that starts with "SomeUser"
"memberOf=cn=TeamOne,ou=Users,ou=CORP,dc=corp,dc=example,dc=com" # allows access only to users in group "TeamOne".
```
[Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`GenerateSshKeysForUsers` (**Opcional**, `Boolean`)
Define si se AWS ParallelCluster genera una clave SSH para los usuarios del clúster inmediatamente después de su autenticación inicial en el nodo principal.
Si se establece en`true`, se genera una clave SSH y se guarda`USER_HOME_DIRECTORY/.ssh/id_rsa`, si no existe, para cada usuario tras su primera autenticación en el nodo principal.
En el caso de un usuario que aún no se ha autenticado en el nodo principal, la primera autenticación se puede realizar en los siguientes casos:
+ El usuario inicia sesión en el nodo principal por primera vez con su propia contraseña.
+ En el nodo principal, un sudoer cambia al usuario por primera vez: `su USERNAME`
+ En el nodo principal, un sudoer ejecuta un comando como usuario por primera vez: `su -u USERNAME COMMAND`
Los usuarios pueden usar la clave SSH para iniciar sesión posteriormente en el nodo principal del clúster y en los nodos de cómputo. Con AWS ParallelCluster, los inicios de sesión con contraseña en los nodos de cómputo del clúster están deshabilitados por diseño. Si un usuario no ha iniciado sesión en el nodo principal, las claves SSH no se generan y el usuario no podrá iniciar sesión en los nodos de cálculo.
El valor predeterminado es `true`.
[Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`AdditionalSssdConfigs` (**Opcional**, `Dict`)
Un diccionario de pares clave-valor que contiene parámetros y valores de SSSD para escribirlos en el archivo de configuración de SSSD de las instancias de clúster. Para obtener una descripción completa del archivo de configuración de SSSD, consulte las páginas del manual de la instancia para `SSSD` y los archivos de configuración relacionados.
Los parámetros y valores del SSSD deben ser compatibles con la configuración AWS ParallelCluster del SSSD, tal y como se describe en la siguiente lista.
+ `id_provider`está configurado `ldap` internamente por AWS ParallelCluster y no debe modificarse.
+ `access_provider`se establece `ldap` internamente AWS ParallelCluster cuando [`LdapAccessFilter`](#yaml-DirectoryService-LdapAccessFilter)se especifica [`DirectoryService`](#DirectoryService-v3)/, y esta configuración no debe modificarse.
Si [`LdapAccessFilter`](#yaml-DirectoryService-LdapAccessFilter)se omite [`DirectoryService`](#DirectoryService-v3)/, también se omite su `access_provider` especificación. Por ejemplo, si se establece `access_provider` `simple` en [`AdditionalSssdConfigs`](#yaml-DirectoryService-AdditionalSssdConfigs), no se [`LdapAccessFilter`](#yaml-DirectoryService-LdapAccessFilter)debe especificar [`DirectoryService`](#DirectoryService-v3)/.
Los siguientes fragmentos de configuración son ejemplos de configuraciones válidas para. `AdditionalSssdConfigs`
En este ejemplo, se habilita el nivel de depuración de los registros SSSD, se restringe la base de búsqueda a una unidad organizativa específica y se deshabilita el almacenamiento en caché de las credenciales.
```
DirectoryService:
...
AdditionalSssdConfigs:
debug_level: "0xFFF0"
ldap_search_base: OU=Users,OU=CORP,DC=corp,DC=example,DC=com
cache_credentials: False
```
En este ejemplo se especifica la configuración de un `access_provider` [https://www.mankier.com/5/sssd-simple](https://www.mankier.com/5/sssd-simple) SSSD. Los usuarios del `EngineeringTeam` tienen acceso al directorio. [`DirectoryService`](#DirectoryService-v3)/no [`LdapAccessFilter`](#yaml-DirectoryService-LdapAccessFilter)debe configurarse en este caso.
```
DirectoryService:
...
AdditionalSssdConfigs:
access_provider: simple
simple_allow_groups: EngineeringTeam
```
[Política de actualización: la flota de computación debe estar detenida para poder cambiar esta configuración y proceder a la actualización.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)