Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Crea un cluster con un dominio AD **avvertimento** Questa sezione introduttiva descrive come eseguire la configurazione AWS ParallelCluster con un server Managed Active Directory (AD) tramite il Lightweight Directory Access Protocol (LDAP). LDAP è un protocollo non sicuro. Per i sistemi di produzione, consigliamo vivamente l'uso di certificati TLS (LDAPS) come descritto nella [Esempio di configurazioni di cluster AWS Managed Microsoft AD LDAP (S)](examples-addir-v3.md) sezione che segue. Configura il cluster per l'integrazione con una directory specificando le informazioni pertinenti nella `DirectoryService` sezione del file di configurazione del cluster. Per ulteriori informazioni, consulta la sezione sulla [`DirectoryService`](DirectoryService-v3.md)configurazione. È possibile utilizzare questo esempio per integrare il cluster con un AWS Managed Microsoft AD protocollo LDAP (Lightweight Directory Access Protocol). **Definizioni specifiche richieste per una configurazione AWS Managed Microsoft AD tramite LDAP:** + È necessario impostare il `ldap_auth_disable_tls_never_use_in_production` parametro su `True` under [`DirectoryService`](DirectoryService-v3.md)/[`AdditionalSssdConfigs`](DirectoryService-v3.md#yaml-DirectoryService-AdditionalSssdConfigs). + È possibile specificare i nomi host dei controller o gli indirizzi IP per [`DirectoryService`](DirectoryService-v3.md)/[`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr). + [`DirectoryService`](DirectoryService-v3.md)/la [`DomainReadOnlyUser`](DirectoryService-v3.md#yaml-DirectoryService-DomainReadOnlyUser)sintassi deve essere la seguente: ``` cn=ReadOnly,ou=Users,ou=CORP,dc={{corp}},dc={{example}},dc={{com}} ``` **Ottieni i tuoi dati AWS Managed Microsoft AD di configurazione:** ``` $ aws ds describe-directories --directory-id {{"d-abcdef01234567890"}} ``` ``` { "DirectoryDescriptions": [ { "DirectoryId": "d-abcdef01234567890", "Name": "corp.example.com", "DnsIpAddrs": [ "203.0.113.225", "192.0.2.254" ], "VpcSettings": { "VpcId": "vpc-021345abcdef6789", "SubnetIds": [ "subnet-1234567890abcdef0", "subnet-abcdef01234567890" ], "AvailabilityZones": [ "region-idb", "region-idd" ] } } ] } ``` **Configurazione del cluster per AWS Managed Microsoft AD:** ``` Region: region-id Image: Os: alinux2 HeadNode: InstanceType: t2.micro Networking: SubnetId: subnet-1234567890abcdef0 Ssh: KeyName: pcluster Scheduling: Scheduler: slurm SlurmQueues: - Name: queue1 ComputeResources: - Name: t2micro InstanceType: t2.micro MinCount: 1 MaxCount: 10 Networking: SubnetIds: - subnet-abcdef01234567890 DirectoryService: DomainName: dc=corp,dc=example,dc=com DomainAddr: ldap://203.0.113.225,ldap://192.0.2.254 PasswordSecretArn: arn:aws:secretsmanager:region-id:123456789012:secret:MicrosoftAD.Admin.Password-1234 DomainReadOnlyUser: cn=ReadOnly,ou=Users,ou=CORP,dc=corp,dc=example,dc=com AdditionalSssdConfigs: ldap_auth_disable_tls_never_use_in_production: True ``` **Per utilizzare questa configurazione per un Simple AD, modifica il valore della `DomainReadOnlyUser` proprietà nella `DirectoryService` sezione:** ``` DirectoryService: DomainName: dc=corp,dc=example,dc=com DomainAddr: ldap://203.0.113.225,ldap://192.0.2.254 PasswordSecretArn: arn:aws:secretsmanager:region-id:123456789012:secret:SimpleAD.Admin.Password-1234 DomainReadOnlyUser: cn=ReadOnlyUser,cn=Users,dc={{corp}},dc={{example}},dc={{com}} AdditionalSssdConfigs: ldap_auth_disable_tls_never_use_in_production: True ``` **Considerazioni:** + Si consiglia di utilizzare LDAP su TLS/SSL (o LDAPS) anziché utilizzare solo LDAP. TLS/SSL garantisce che la connessione sia crittografata. + Il valore della [`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr)proprietà [`DirectoryService`](DirectoryService-v3.md)/corrisponde alle voci dell'`DnsIpAddrs`elenco dell'output. `describe-directories` + È consigliabile che il cluster utilizzi sottoreti situate nella stessa zona di disponibilità a cui [`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr)punta [`DirectoryService`](DirectoryService-v3.md)/. Se utilizzi una [configurazione DHCP (Dynamic Host Configuration Protocol) personalizzata](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/dhcp_options_set.html) consigliata per la directory VPCs e le tue sottoreti *non* si trovano nella zona di [`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr)disponibilità [`DirectoryService`](DirectoryService-v3.md)/, è possibile il traffico incrociato tra le zone di disponibilità. L'uso di configurazioni DHCP personalizzate *non è* necessario per utilizzare la funzionalità di integrazione AD multiutente. + Il valore della [`DomainReadOnlyUser`](DirectoryService-v3.md#yaml-DirectoryService-DomainReadOnlyUser)proprietà [`DirectoryService`](DirectoryService-v3.md)/specifica un utente che deve essere creato nella directory. Questo utente *non* viene creato per impostazione predefinita. Si consiglia di *non* concedere a questo utente l'autorizzazione a modificare i dati della directory. + Il valore della [`PasswordSecretArn`](DirectoryService-v3.md#yaml-DirectoryService-PasswordSecretArn)proprietà [`DirectoryService`](DirectoryService-v3.md)/punta a un Gestione dei segreti AWS segreto che contiene la password dell'utente specificato per la [`DomainReadOnlyUser`](DirectoryService-v3.md#yaml-DirectoryService-DomainReadOnlyUser)proprietà [`DirectoryService`](DirectoryService-v3.md)/. Se la password di questo utente cambia, aggiorna il valore segreto e aggiorna il cluster. Per aggiornare il cluster per il nuovo valore segreto, è necessario interrompere la flotta di calcolo con il `pcluster update-compute-fleet` comando. Se hai configurato il cluster per l'uso [`LoginNodes`](LoginNodes-v3.md), interrompi [`LoginNodes`](LoginNodes-v3.md)/[`Pools`](LoginNodes-v3.md#LoginNodes-v3-Pools)e aggiorna il cluster dopo aver impostato [`LoginNodes`](LoginNodes-v3.md)/[`Pools`](LoginNodes-v3.md#LoginNodes-v3-Pools)/[`Count`](LoginNodes-v3.md#yaml-LoginNodes-Pools-Count)su 0. Quindi, esegui il comando seguente dal nodo principale del cluster. ``` sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh ``` Per un altro esempio, vedi anche[Integrazione di Active Directory](tutorials_05_multi-user-ad.md).