Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sezione `DirectoryService`
**Nota**
Il supporto per `DirectoryService` è stato aggiunto nella AWS ParallelCluster versione 3.1.1.
**(Facoltativo)** Le impostazioni del servizio di directory per un cluster che supporta l'accesso di più utenti.
AWS ParallelCluster gestisce le autorizzazioni che supportano l'accesso di più utenti ai cluster con Active Directory (AD) tramite Lightweight Directory Access Protocol (LDAP) supportato dal [System Security Services Daemon](https://sssd.io/docs/introduction.html) (SSSD). [Per ulteriori informazioni, consulta Cos'è? AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html) nella *Guida all'AWS Directory Service amministrazione*.
Si consiglia di utilizzare LDAP over TLS/SSL (abbreviato in LDAPS) per garantire che tutte le informazioni potenzialmente sensibili vengano trasmesse su canali crittografati.
```
DirectoryService:
DomainName: string
DomainAddr: string
PasswordSecretArn: string
DomainReadOnlyUser: string
LdapTlsCaCert: string
LdapTlsReqCert: string
LdapAccessFilter: string
GenerateSshKeysForUsers: boolean
AdditionalSssdConfigs: dict
```
[Politica di aggiornamento: la flotta di elaborazione deve essere interrotta affinché questa impostazione possa essere modificata per un aggiornamento.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
## Proprietà `DirectoryService`
**Nota**
Se prevedi di utilizzarlo AWS ParallelCluster in un'unica sottorete senza accesso a Internet, consulta [AWS ParallelCluster in un'unica sottorete senza accesso a Internet](aws-parallelcluster-in-a-single-public-subnet-no-internet-v3.md) la sezione dedicata ai requisiti aggiuntivi.
`DomainName`(**Obbligatorio**,`String`)
Il dominio Active Directory (AD) utilizzato per le informazioni sull'identità.
`DomainName`accetta i formati Fully Qualified Domain Name (FQDN) e LDAP Distinguished Name (DN).
+ Esempio di FQDN: `corp.example.com`
+ Esempio di DN LDAP: `DC=corp,DC=example,DC=com`
Questa proprietà corrisponde al parametro sssd-ldap chiamato. `ldap_search_base`
[Politica di aggiornamento: la flotta di elaborazione deve essere interrotta affinché questa impostazione possa essere modificata per un aggiornamento.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`DomainAddr`**(Obbligatorio,)** `String`
L'URI o URIs quel punto rimanda al controller di dominio AD utilizzato come server LDAP. L'URI corrisponde al parametro SSSD-LDAP chiamato. `ldap_uri` Il valore può essere una stringa separata da virgole di. URIs Per utilizzare LDAP, è necessario `ldap://` aggiungere all'inizio di ogni URI.
Valori di esempio:
```
ldap://192.0.2.0,ldap://203.0.113.0 # LDAP
ldaps://192.0.2.0,ldaps://203.0.113.0 # LDAPS without support for certificate verification
ldaps://abcdef01234567890.corp.example.com # LDAPS with support for certificate verification
192.0.2.0,203.0.113.0 # AWS ParallelCluster uses LDAPS by default
```
Se si utilizza LDAPS con la verifica del certificato, URIs devono essere nomi host.
Se si utilizza LDAPS senza verifica del certificato o LDAP, URIs possono essere nomi host o indirizzi IP.
Utilizzate LDAP over TLS/SSL (LDAPS) per evitare la trasmissione di password e altre informazioni sensibili su canali non crittografati. Se AWS ParallelCluster non trova un protocollo, lo aggiunge `ldaps://` all'inizio di ogni URI o nome host.
[Politica di aggiornamento: la flotta di elaborazione deve essere interrotta affinché questa impostazione possa essere modificata per un aggiornamento.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`PasswordSecretArn`(**Obbligatorio**,`String`)
L'Amazon Resource Name (ARN) del Gestione dei segreti AWS segreto che contiene la password in chiaro`DomainReadOnlyUser`. Il contenuto del segreto corrisponde al parametro SSSD-LDAP chiamato. `ldap_default_authtok`
Quando usi la Gestione dei segreti AWS console per creare un segreto, assicurati di selezionare «Altro tipo di segreto», seleziona il testo non crittografato e includi solo il testo della password nel segreto.
Per ulteriori informazioni su come Gestione dei segreti AWS creare un segreto, consulta [Create](https://docs.aws.amazon.com//secretsmanager/latest/userguide/create_secret) an Secret Gestione dei segreti AWS
Il client LDAP utilizza la password per l'autenticazione nel dominio AD `DomainReadOnlyUser` quando richiede informazioni sull'identità.
Se l'utente ha il permesso di farlo [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html), `PasswordSecretArn` viene convalidato. `PasswordSecretArn`è valido se il segreto specificato esiste. Se la policy IAM dell'utente non include`DescribeSecret`, `PasswordSecretArn` non viene convalidata e viene visualizzato un messaggio di avviso. Per ulteriori informazioni, consulta [Politica AWS ParallelCluster `pcluster` utente di base](iam-roles-in-parallelcluster-v3.md#iam-roles-in-parallelcluster-v3-base-user-policy).
Quando il valore del segreto cambia, il cluster *non* viene aggiornato automaticamente. Per aggiornare il cluster in base al nuovo valore segreto, è necessario interrompere la flotta di calcolo con il [`pcluster update-compute-fleet`](pcluster.update-compute-fleet-v3.md) comando e quindi eseguire il comando seguente dall'interno del nodo principale.
```
$ sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh
```
[Politica di aggiornamento: la flotta di elaborazione deve essere interrotta affinché questa impostazione possa essere modificata per un aggiornamento.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`DomainReadOnlyUser`(**Obbligatorio**,`String`)
L'identità utilizzata per interrogare il dominio AD per ottenere informazioni sull'identità durante l'autenticazione degli accessi degli utenti del cluster. Corrisponde al parametro SSSD-LDAP chiamato. `ldap_default_bind_dn` Usa le informazioni sulla tua identità AD per questo valore.
Specificate l'identità nel modulo richiesto dallo specifico client LDAP presente sul nodo:
+ Microsoft AD:
```
cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com
```
+ Annuncio semplice:
```
cn=ReadOnlyUser,cn=Users,dc=corp,dc=example,dc=com
```
[Politica di aggiornamento: la flotta di elaborazione deve essere interrotta affinché questa impostazione possa essere modificata per un aggiornamento.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`LdapTlsCaCert`(**Facoltativo**,) `String`
Il percorso assoluto di un pacchetto di certificati che contiene i certificati di ogni autorità di certificazione nella catena di certificazione che ha emesso un certificato per i controller di dominio. Corrisponde al parametro SSSD-LDAP chiamato. `ldap_tls_cacert`
Un pacchetto di certificati è un file composto dalla concatenazione di certificati distinti in formato PEM, noto anche come formato DER Base64 in Windows. Viene utilizzato per verificare l'identità del controller di dominio AD che funge da server LDAP.
AWS ParallelCluster non è responsabile del posizionamento iniziale dei certificati sui nodi. In qualità di amministratore del cluster, puoi configurare manualmente il certificato nel nodo principale dopo la creazione del cluster oppure puoi utilizzare uno [script di bootstrap](custom-bootstrap-actions-v3.md). In alternativa, puoi utilizzare un'Amazon Machine Image (AMI) che include il certificato configurato sul nodo principale.
[Simple AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_simple_ad.html) non fornisce il supporto LDAPS. Per informazioni su come integrare una directory Simple AD con AWS ParallelCluster, vedi [Come configurare un endpoint LDAPS per Simple AD](https://aws.amazon.com/blogs/security/how-to-configure-ldaps-endpoint-for-simple-ad/) nel blog sulla *AWS sicurezza*.
[Politica di aggiornamento: la flotta di elaborazione deve essere interrotta affinché questa impostazione possa essere modificata per un aggiornamento.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`LdapTlsReqCert`(**Facoltativo**,) `String`
Speciifica quali controlli eseguire sui certificati del server in una sessione TLS. Corrisponde al parametro SSSD-LDAP chiamato. `ldap_tls_reqcert`
Valori validi: `never`, `allow`, `try`, `demand` e `hard`.
`never``allow`, e `try` abilita il proseguimento delle connessioni anche se vengono rilevati problemi con i certificati.
`demand`e `hard` abilita la continuazione della comunicazione se non vengono rilevati problemi con i certificati.
Se l'amministratore del cluster utilizza un valore che non richiede la convalida del certificato per avere esito positivo, viene restituito un messaggio di avviso all'amministratore. Per motivi di sicurezza, ti consigliamo di non disabilitare la verifica dei certificati.
Il valore predefinito è `hard`.
[Politica di aggiornamento: la flotta di elaborazione deve essere interrotta affinché questa impostazione possa essere modificata per un aggiornamento.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`LdapAccessFilter`(**Facoltativo**,`String`)
Specificate un filtro per limitare l'accesso alla directory a un sottoinsieme di utenti. Questa proprietà corrisponde al parametro SSSD-LDAP chiamato. `ldap_access_filter` È possibile utilizzarlo per limitare le query a un AD che supporta un numero elevato di utenti.
Questo filtro può bloccare l'accesso degli utenti al cluster. Tuttavia, non influisce sulla reperibilità degli utenti bloccati.
Se questa proprietà è impostata, il parametro SSSD `access_provider` è impostato `ldap` internamente da AWS ParallelCluster e non deve essere modificato da [`DirectoryService`](#DirectoryService-v3)/settings. [`AdditionalSssdConfigs`](#yaml-DirectoryService-AdditionalSssdConfigs)
Se questa proprietà viene omessa e l'accesso utente personalizzato non è specificato in [`DirectoryService`](#DirectoryService-v3)/[`AdditionalSssdConfigs`](#yaml-DirectoryService-AdditionalSssdConfigs), tutti gli utenti della directory possono accedere al cluster.
Esempi:
```
"!(cn=SomeUser*)" # denies access to every user with an alias that starts with "SomeUser"
"(cn=SomeUser*)" # allows access to every user with alias that starts with "SomeUser"
"memberOf=cn=TeamOne,ou=Users,ou=CORP,dc=corp,dc=example,dc=com" # allows access only to users in group "TeamOne".
```
[Politica di aggiornamento: la flotta di elaborazione deve essere interrotta affinché questa impostazione possa essere modificata per un aggiornamento.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`GenerateSshKeysForUsers`(**Facoltativo,`Boolean`)**
Definisce se AWS ParallelCluster genera una chiave SSH per gli utenti del cluster immediatamente dopo l'autenticazione iniziale sul nodo principale.
Se impostato su`true`, una chiave SSH viene generata e salvata`USER_HOME_DIRECTORY/.ssh/id_rsa`, se non esiste, per ogni utente dopo la prima autenticazione sul nodo principale.
Per un utente che non è ancora stato autenticato sul nodo principale, la prima autenticazione può avvenire nei seguenti casi:
+ L'utente accede al nodo principale per la prima volta con la propria password.
+ Nel nodo principale, un sudoer passa all'utente per la prima volta: `su USERNAME`
+ Nel nodo principale, un sudoer esegue un comando come utente per la prima volta: `su -u USERNAME COMMAND`
Gli utenti possono utilizzare la chiave SSH per gli accessi successivi al nodo principale del cluster e ai nodi di calcolo. Con AWS ParallelCluster, gli accessi tramite password ai nodi di calcolo del cluster sono disabilitati in base alla progettazione. Se un utente non ha effettuato l'accesso al nodo principale, le chiavi SSH non vengono generate e l'utente non sarà in grado di accedere ai nodi di calcolo.
Il valore predefinito è `true`.
[Politica di aggiornamento: la flotta di elaborazione deve essere interrotta affinché questa impostazione possa essere modificata per un aggiornamento.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`AdditionalSssdConfigs`**(Facoltativo,)** `Dict`
Un dizionario di coppie chiave-valore che contengono parametri e valori SSSD da scrivere nel file di configurazione SSSD sulle istanze del cluster. Per una descrizione completa del file di configurazione SSSD, consulta le pagine di manuale relative all'istanza e i relativi file di configurazione. `SSSD`
I parametri e i valori SSSD devono essere compatibili con AWS ParallelCluster la configurazione SSSD descritta nell'elenco seguente.
+ `id_provider`è impostato su `ldap` internamente da AWS ParallelCluster e non deve essere modificato.
+ `access_provider`è impostata `ldap` internamente AWS ParallelCluster quando [`LdapAccessFilter`](#yaml-DirectoryService-LdapAccessFilter)viene specificato [`DirectoryService`](#DirectoryService-v3)/e questa impostazione non deve essere modificata.
Se [`DirectoryService`](#DirectoryService-v3)/[`LdapAccessFilter`](#yaml-DirectoryService-LdapAccessFilter)viene omesso, viene omessa anche la sua `access_provider` specificazione. Ad esempio, se si imposta su `access_provider` `simple` in [`AdditionalSssdConfigs`](#yaml-DirectoryService-AdditionalSssdConfigs), non è [`LdapAccessFilter`](#yaml-DirectoryService-LdapAccessFilter)necessario specificare [`DirectoryService`](#DirectoryService-v3)/.
I seguenti frammenti di configurazione sono esempi di configurazioni valide per. `AdditionalSssdConfigs`
Questo esempio abilita il livello di debug per i log SSSD, limita la base di ricerca a un'unità organizzativa specifica e disabilita la memorizzazione nella cache delle credenziali.
```
DirectoryService:
...
AdditionalSssdConfigs:
debug_level: "0xFFF0"
ldap_search_base: OU=Users,OU=CORP,DC=corp,DC=example,DC=com
cache_credentials: False
```
Questo esempio specifica la configurazione di un SSD. [https://www.mankier.com/5/sssd-simple](https://www.mankier.com/5/sssd-simple)`access_provider` Agli utenti di `EngineeringTeam` viene fornito l'accesso alla directory. [`DirectoryService`](#DirectoryService-v3)/non [`LdapAccessFilter`](#yaml-DirectoryService-LdapAccessFilter)deve essere impostato in questo caso.
```
DirectoryService:
...
AdditionalSssdConfigs:
access_provider: simple
simple_allow_groups: EngineeringTeam
```
[Politica di aggiornamento: la flotta di elaborazione deve essere interrotta affinché questa impostazione possa essere modificata per un aggiornamento.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)