Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Bagian `DirectoryService`
**catatan**
Support untuk `DirectoryService` ditambahkan di AWS ParallelCluster versi 3.1.1.
**(Opsional)** Pengaturan layanan direktori untuk cluster yang mendukung beberapa akses pengguna.
AWS ParallelCluster mengelola izin yang mendukung akses beberapa pengguna ke cluster dengan Active Directory (AD) melalui Lightweight Directory Access Protocol (LDAP) yang didukung oleh [Daemon Layanan Keamanan Sistem](https://sssd.io/docs/introduction.html) (SSSD). Untuk informasi lebih lanjut, lihat [Apa itu AWS Directory Service?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html) dalam *Panduan AWS Directory Service Administrasi*.
Kami menyarankan Anda menggunakan LDAP over TLS/SSL (disingkat LDAPS) untuk memastikan bahwa setiap informasi yang berpotensi sensitif ditransmisikan melalui saluran terenkripsi.
```
DirectoryService:
DomainName: string
DomainAddr: string
PasswordSecretArn: string
DomainReadOnlyUser: string
LdapTlsCaCert: string
LdapTlsReqCert: string
LdapAccessFilter: string
GenerateSshKeysForUsers: boolean
AdditionalSssdConfigs: dict
```
[Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
## `DirectoryService`properti
**catatan**
Jika Anda berencana untuk menggunakan AWS ParallelCluster dalam satu subnet tanpa akses internet, lihat [AWS ParallelCluster dalam satu subnet tanpa akses internet](aws-parallelcluster-in-a-single-public-subnet-no-internet-v3.md) persyaratan tambahan.
`DomainName`(**Diperlukan**,`String`)
Domain Active Directory (AD) yang Anda gunakan untuk informasi identitas.
`DomainName`menerima format Fully Qualified Domain Name (FQDN) dan LDAP Distinguished Name (DN).
+ Contoh FQDN: `corp.example.com`
+ Contoh LDAP DN: `DC=corp,DC=example,DC=com`
Properti ini sesuai dengan parameter sssd-ldap yang dipanggil. `ldap_search_base`
[Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`DomainAddr`(**Diperlukan**,`String`)
URI atau URIs yang mengarah ke pengontrol domain AD yang digunakan sebagai server LDAP. URI sesuai dengan parameter SSSD-LDAP yang dipanggil. `ldap_uri` Nilainya bisa berupa string yang dipisahkan koma dari. URIs Untuk menggunakan LDAP, Anda harus menambahkan `ldap://` ke awal setiap URI.
Nilai contoh:
```
ldap://192.0.2.0,ldap://203.0.113.0 # LDAP
ldaps://192.0.2.0,ldaps://203.0.113.0 # LDAPS without support for certificate verification
ldaps://abcdef01234567890.corp.example.com # LDAPS with support for certificate verification
192.0.2.0,203.0.113.0 # AWS ParallelCluster uses LDAPS by default
```
Jika Anda menggunakan LDAPS dengan verifikasi sertifikat, URIs harus menjadi nama host.
Jika Anda menggunakan LDAPS tanpa verifikasi sertifikat atau LDAP, URIs dapat berupa nama host atau alamat IP.
Gunakan LDAP over TLS/SSL (LDAPS) untuk menghindari transmisi kata sandi dan informasi sensitif lainnya melalui saluran yang tidak terenkripsi. Jika AWS ParallelCluster tidak menemukan protokol, itu `ldaps://` menambah awal setiap URI atau nama host.
[Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`PasswordSecretArn`(**Diperlukan**,`String`)
Nama Sumber Daya Amazon (ARN) dari AWS Secrets Manager rahasia yang berisi kata sandi teks biasa`DomainReadOnlyUser`. Isi rahasia sesuai dengan parameter SSSD-LDAP yang disebut. `ldap_default_authtok`
Saat Anda menggunakan AWS Secrets Manager konsol untuk membuat rahasia, pastikan untuk memilih “Jenis rahasia lainnya”, pilih teks biasa, dan hanya sertakan teks kata sandi dalam rahasia.
Untuk informasi lebih lanjut tentang cara menggunakan AWS Secrets Manager untuk membuat rahasia, lihat [Buat AWS Secrets Manager Rahasia](https://docs.aws.amazon.com//secretsmanager/latest/userguide/create_secret)
Klien LDAP menggunakan kata sandi untuk mengautentikasi ke domain AD sebagai `DomainReadOnlyUser` saat meminta informasi identitas.
Jika pengguna memiliki izin untuk [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html), `PasswordSecretArn` divalidasi. `PasswordSecretArn`valid jika rahasia yang ditentukan ada. Jika kebijakan IAM pengguna tidak disertakan`DescribeSecret`, `PasswordSecretArn` tidak divalidasi dan pesan peringatan ditampilkan. Untuk informasi selengkapnya, lihat [Kebijakan AWS ParallelCluster `pcluster` pengguna dasar](iam-roles-in-parallelcluster-v3.md#iam-roles-in-parallelcluster-v3-base-user-policy).
Ketika nilai rahasia berubah, cluster *tidak* diperbarui secara otomatis. Untuk memperbarui cluster untuk nilai rahasia baru, Anda harus menghentikan armada komputasi dengan [`pcluster update-compute-fleet`](pcluster.update-compute-fleet-v3.md) perintah dan kemudian menjalankan perintah berikut dari dalam node kepala.
```
$ sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh
```
[Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`DomainReadOnlyUser`(**Diperlukan**,`String`)
Identitas yang digunakan untuk menanyakan domain AD untuk informasi identitas saat mengautentikasi login pengguna klaster. Ini sesuai dengan parameter SSSD-LDAP yang disebut. `ldap_default_bind_dn` Gunakan informasi identitas iklan Anda untuk nilai ini.
Tentukan identitas dalam formulir yang diperlukan oleh klien LDAP tertentu yang ada di node:
+ MicrosofPad:
```
cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com
```
+ SimpleAD:
```
cn=ReadOnlyUser,cn=Users,dc=corp,dc=example,dc=com
```
[Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`LdapTlsCaCert`(**Opsional**,`String`)
Jalur absolut ke bundel sertifikat yang berisi sertifikat untuk setiap otoritas sertifikasi dalam rantai sertifikasi yang mengeluarkan sertifikat untuk pengontrol domain. Ini sesuai dengan parameter SSSD-LDAP yang disebut. `ldap_tls_cacert`
Bundel sertifikat adalah file yang terdiri dari rangkaian sertifikat berbeda dalam format PEM, juga dikenal sebagai format DER Base64 di Windows. Ini digunakan untuk memverifikasi identitas pengontrol domain AD yang bertindak sebagai server LDAP.
AWS ParallelCluster tidak bertanggung jawab atas penempatan awal sertifikat ke node. Sebagai administrator cluster, Anda dapat mengonfigurasi sertifikat di node kepala secara manual setelah cluster dibuat atau Anda dapat menggunakan [skrip bootstrap](custom-bootstrap-actions-v3.md). Atau, Anda dapat menggunakan Amazon Machine Image (AMI) yang menyertakan sertifikat yang dikonfigurasi pada node kepala.
[Simple AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_simple_ad.html) tidak menyediakan dukungan LDAPS. *Untuk mempelajari cara mengintegrasikan direktori Simple AD dengan AWS ParallelCluster, lihat [Cara mengonfigurasi titik akhir LDAPS untuk Simple AD di Blog](https://aws.amazon.com/blogs/security/how-to-configure-ldaps-endpoint-for-simple-ad/) Keamanan.AWS *
[Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`LdapTlsReqCert`(**Opsional**,`String`)
Menentukan pemeriksaan apa yang akan dilakukan pada sertifikat server dalam sesi TLS. Ini sesuai dengan parameter SSSD-LDAP yang disebut. `ldap_tls_reqcert`
Nilai yang valid:`never`,`allow`,`try`,`demand`, dan`hard`.
`never`,`allow`, dan `try` aktifkan koneksi untuk melanjutkan bahkan jika masalah dengan sertifikat ditemukan.
`demand`dan `hard` memungkinkan komunikasi untuk melanjutkan jika tidak ada masalah dengan sertifikat yang ditemukan.
Jika administrator klaster menggunakan nilai yang tidak memerlukan validasi sertifikat untuk berhasil, pesan peringatan akan dikembalikan ke administrator. Untuk alasan keamanan, kami menyarankan Anda untuk tidak menonaktifkan verifikasi sertifikat.
Nilai default-nya adalah `hard`.
[Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`LdapAccessFilter`(**Opsional**,`String`)
Menentukan filter untuk membatasi akses direktori ke subset pengguna. Properti ini sesuai dengan parameter SSSD-LDAP yang dipanggil. `ldap_access_filter` Anda dapat menggunakannya untuk membatasi kueri pada iklan yang mendukung sejumlah besar pengguna.
Filter ini dapat memblokir akses pengguna ke cluster. Namun, itu tidak memengaruhi kemampuan ditemukan pengguna yang diblokir.
Jika properti ini disetel, parameter SSSD `access_provider` diatur ke `ldap` internal oleh AWS ParallelCluster dan tidak boleh dimodifikasi oleh [`DirectoryService`](#DirectoryService-v3)/[`AdditionalSssdConfigs`](#yaml-DirectoryService-AdditionalSssdConfigs)pengaturan.
Jika properti ini dihilangkan dan akses pengguna yang disesuaikan tidak ditentukan di [`DirectoryService`](#DirectoryService-v3)/[`AdditionalSssdConfigs`](#yaml-DirectoryService-AdditionalSssdConfigs), semua pengguna di direktori dapat mengakses klaster.
Contoh:
```
"!(cn=SomeUser*)" # denies access to every user with an alias that starts with "SomeUser"
"(cn=SomeUser*)" # allows access to every user with alias that starts with "SomeUser"
"memberOf=cn=TeamOne,ou=Users,ou=CORP,dc=corp,dc=example,dc=com" # allows access only to users in group "TeamOne".
```
[Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`GenerateSshKeysForUsers`(**Opsional**,`Boolean`)
Mendefinisikan apakah AWS ParallelCluster menghasilkan kunci SSH untuk pengguna cluster segera setelah otentikasi awal mereka pada node kepala.
Jika disetel ke`true`, kunci SSH dihasilkan dan disimpan ke`USER_HOME_DIRECTORY/.ssh/id_rsa`, jika tidak ada, untuk setiap pengguna setelah otentikasi pertama mereka di node kepala.
Untuk pengguna yang belum diautentikasi pada node kepala, otentikasi pertama dapat terjadi dalam kasus berikut:
+ Pengguna masuk ke node kepala untuk pertama kalinya dengan kata sandinya sendiri.
+ Di node kepala, sudoer beralih ke pengguna untuk pertama kalinya: `su USERNAME`
+ Di node kepala, sudoer menjalankan perintah sebagai pengguna untuk pertama kalinya: `su -u USERNAME COMMAND`
Pengguna dapat menggunakan kunci SSH untuk login berikutnya ke node kepala cluster dan node komputasi. Dengan AWS ParallelCluster, login kata sandi ke node komputasi cluster dinonaktifkan berdasarkan desain. Jika pengguna belum masuk ke node kepala, kunci SSH tidak dihasilkan dan pengguna tidak akan dapat masuk untuk menghitung node.
Nilai default-nya `true`.
[Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`AdditionalSssdConfigs`(**Opsional**,`Dict`)
Kamus pasangan nilai kunci yang berisi parameter dan nilai SSSD untuk ditulis ke file konfigurasi SSSD pada instance cluster. Untuk deskripsi lengkap tentang file konfigurasi SSSD, lihat halaman manual on-instance untuk `SSSD` dan file konfigurasi terkait.
Parameter dan nilai SSSD harus kompatibel dengan AWS ParallelCluster konfigurasi SSSD seperti yang dijelaskan dalam daftar berikut.
+ `id_provider`diatur ke `ldap` internal oleh AWS ParallelCluster dan tidak boleh dimodifikasi.
+ `access_provider`diatur ke `ldap` internal oleh AWS ParallelCluster ketika [`DirectoryService`](#DirectoryService-v3)/[`LdapAccessFilter`](#yaml-DirectoryService-LdapAccessFilter)ditentukan, dan pengaturan ini tidak boleh diubah.
Jika [`DirectoryService`](#DirectoryService-v3)/[`LdapAccessFilter`](#yaml-DirectoryService-LdapAccessFilter)dihilangkan, `access_provider` spesifikasinya juga dihilangkan. Misalnya, jika Anda menyetel `access_provider` ke `simple` in [`AdditionalSssdConfigs`](#yaml-DirectoryService-AdditionalSssdConfigs), maka [`DirectoryService`](#DirectoryService-v3)/tidak [`LdapAccessFilter`](#yaml-DirectoryService-LdapAccessFilter)boleh ditentukan.
Cuplikan konfigurasi berikut adalah contoh konfigurasi yang valid untuk. `AdditionalSssdConfigs`
Contoh ini memungkinkan tingkat debug untuk log SSSD, membatasi basis pencarian ke unit organisasi tertentu, dan menonaktifkan caching kredensyal.
```
DirectoryService:
...
AdditionalSssdConfigs:
debug_level: "0xFFF0"
ldap_search_base: OU=Users,OU=CORP,DC=corp,DC=example,DC=com
cache_credentials: False
```
Contoh ini menentukan konfigurasi [https://www.mankier.com/5/sssd-simple](https://www.mankier.com/5/sssd-simple)`access_provider`SSSD. Pengguna dari `EngineeringTeam` disediakan akses ke direktori. [`DirectoryService`](#DirectoryService-v3)/tidak [`LdapAccessFilter`](#yaml-DirectoryService-LdapAccessFilter)boleh diatur dalam kasus ini.
```
DirectoryService:
...
AdditionalSssdConfigs:
access_provider: simple
simple_allow_groups: EngineeringTeam
```
[Kebijakan pembaruan: Armada komputasi harus dihentikan agar pengaturan ini diubah untuk pembaruan.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)