Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Creación de un clúster con un dominio de AD
<a name="create-addircluster-v3"></a>

**aviso**  
En esta sección introductoria se describe cómo configurar AWS ParallelCluster un servidor de Active Directory (AD) administrado mediante el Protocolo ligero de acceso a directorios (LDAP). El LDAP no es un protocolo seguro. Para los sistemas de producción, recomendamos encarecidamente el uso de certificados TLS (LDAPS), tal y como se describe en la siguiente sección [Ejemplo de configuraciones de clústeres LDAP ( AWS Managed Microsoft AD S)](examples-addir-v3.md).

Configure el clúster para que se integre con un directorio especificando la información pertinente en la sección `DirectoryService` del archivo de configuración del clúster. Para obtener más información, consulte la sección de configuración de [`DirectoryService`](DirectoryService-v3.md).

Puede usar el siguiente ejemplo para integrar el clúster con un protocolo ligero AWS Managed Microsoft AD de acceso a directorios (LDAP).

**Definiciones específicas que se requieren para una configuración basada AWS Managed Microsoft AD en LDAP:**
+ El parámetro `ldap_auth_disable_tls_never_use_in_production` debe estar establecido como `True` en [`DirectoryService`](DirectoryService-v3.md)/[`AdditionalSssdConfigs`](DirectoryService-v3.md#yaml-DirectoryService-AdditionalSssdConfigs).
+ Puede especificar los nombres de host del controlador o las direcciones IP para [`DirectoryService`](DirectoryService-v3.md)/[`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr).
+ La sintaxis [`DirectoryService`](DirectoryService-v3.md)/[`DomainReadOnlyUser`](DirectoryService-v3.md#yaml-DirectoryService-DomainReadOnlyUser) debe ser la siguiente:

  ```
  cn=ReadOnly,ou=Users,ou=CORP,dc=corp,dc=example,dc=com
  ```

**Obtenga sus datos de AWS Managed Microsoft AD configuración:**

```
$ aws ds describe-directories --directory-id "d-abcdef01234567890"
```

```
{
    "DirectoryDescriptions": [
        {
            "DirectoryId": "d-abcdef01234567890",
            "Name": "corp.example.com",
            "DnsIpAddrs": [
                "203.0.113.225",
                "192.0.2.254"
            ],
            "VpcSettings": {
                "VpcId": "vpc-021345abcdef6789",
                "SubnetIds": [
                    "subnet-1234567890abcdef0",
                    "subnet-abcdef01234567890"
                ],
                "AvailabilityZones": [
                    "region-idb",
                    "region-idd"
                ]
            }
        }
    ]
}
```

**Configuración de clúster para un AWS Managed Microsoft AD:**

```
Region: region-id
Image:
  Os: alinux2
HeadNode:
  InstanceType: t2.micro
  Networking:
    SubnetId: subnet-1234567890abcdef0
  Ssh:
    KeyName: pcluster
Scheduling:
  Scheduler: slurm
  SlurmQueues:
    - Name: queue1
      ComputeResources:
        - Name: t2micro
          InstanceType: t2.micro
          MinCount: 1
          MaxCount: 10
      Networking:
        SubnetIds:
          - subnet-abcdef01234567890
DirectoryService:
  DomainName: dc=corp,dc=example,dc=com
  DomainAddr: ldap://203.0.113.225,ldap://192.0.2.254
  PasswordSecretArn: arn:aws:secretsmanager:region-id:123456789012:secret:MicrosoftAD.Admin.Password-1234
  DomainReadOnlyUser: cn=ReadOnly,ou=Users,ou=CORP,dc=corp,dc=example,dc=com
  AdditionalSssdConfigs:
    ldap_auth_disable_tls_never_use_in_production: True
```

**Para usar esta configuración para un Simple AD, cambie el valor de la propiedad `DomainReadOnlyUser` en la sección `DirectoryService`:**

```
DirectoryService:
  DomainName: dc=corp,dc=example,dc=com
  DomainAddr: ldap://203.0.113.225,ldap://192.0.2.254
  PasswordSecretArn: arn:aws:secretsmanager:region-id:123456789012:secret:SimpleAD.Admin.Password-1234
  DomainReadOnlyUser: cn=ReadOnlyUser,cn=Users,dc=corp,dc=example,dc=com
  AdditionalSssdConfigs:
    ldap_auth_disable_tls_never_use_in_production: True
```

**Consideraciones:**
+ Le recomendamos que utilice LDAP en lugar de LDAP TLS/SSL (o LDAPS) y no solo con LDAP. El TLS/SSL garantiza que la conexión esté cifrada.
+ El valor de la propiedad [`DirectoryService`](DirectoryService-v3.md)/[`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr) coincide con las entradas de la lista `DnsIpAddrs` de la salida `describe-directories`.
+ Se recomienda que el clúster utilice subredes que estén ubicadas en la misma zona de disponibilidad a la que apunte [`DirectoryService`](DirectoryService-v3.md)/[`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr). Si utiliza una configuración [personalizada del Protocolo de configuración dinámica de host (DHCP)](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/dhcp_options_set.html) que se recomienda para el directorio VPCs y sus subredes *no están* ubicadas en la zona de [`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr)disponibilidad [`DirectoryService`](DirectoryService-v3.md)/, es posible que se produzca tráfico cruzado entre las zonas de disponibilidad. *No es* necesario usar configuraciones de DHCP personalizadas para usar la característica de integración de AD multiusuario.
+ El valor de la propiedad [`DirectoryService`](DirectoryService-v3.md)/[`DomainReadOnlyUser`](DirectoryService-v3.md#yaml-DirectoryService-DomainReadOnlyUser) especifica un usuario que debe crearse en el directorio. Este usuario *no* se crea de forma predeterminada. Le recomendamos que *no* dé permiso a este usuario para modificar los datos del directorio.
+ El valor de la [`PasswordSecretArn`](DirectoryService-v3.md#yaml-DirectoryService-PasswordSecretArn)propiedad [`DirectoryService`](DirectoryService-v3.md)/apunta a un AWS Secrets Manager secreto que contiene la contraseña del usuario que especificó para la propiedad [`DirectoryService`](DirectoryService-v3.md)/[`DomainReadOnlyUser`](DirectoryService-v3.md#yaml-DirectoryService-DomainReadOnlyUser). Si la contraseña de este usuario cambia, actualice el valor secreto y actualice el clúster. Para actualizar el clúster para el nuevo valor secreto, debe detener la flota de computación con el comando `pcluster update-compute-fleet`. Si ha configurado el clúster para usar [`LoginNodes`](LoginNodes-v3.md), detenga [`LoginNodes`](LoginNodes-v3.md)/[`Pools`](LoginNodes-v3.md#LoginNodes-v3-Pools) y actualice el clúster después de establecer [`LoginNodes`](LoginNodes-v3.md)/[`Pools`](LoginNodes-v3.md#LoginNodes-v3-Pools)/[`Count`](LoginNodes-v3.md#yaml-LoginNodes-Pools-Count) en 0. A continuación, ejecute el siguiente comando desde el nodo principal del clúster.

  ```
   sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh
  ```

Para ver otro ejemplo, consulte también [Integración de Active Directory](tutorials_05_multi-user-ad.md).