Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Esempio di configurazioni di cluster AWS Managed Microsoft AD LDAP (S)
AWS ParallelCluster supporta l'accesso di più utenti mediante l'integrazione con un protocollo LDAP (Lightweight Directory Access Protocol) o LDAP AWS Directory Service over (LDAPS). TLS/SSL
Gli esempi seguenti mostrano come creare configurazioni di cluster da integrare con un AWS Managed Microsoft AD protocollo LDAP (S).
## AWS Managed Microsoft AD su LDAPS con verifica del certificato
È possibile utilizzare questo esempio per integrare il cluster con un AWS Managed Microsoft AD protocollo LDAPS, con verifica del certificato.
**Definizioni specifiche per una configurazione AWS Managed Microsoft AD tramite LDAPS con certificati:**
+ [`DirectoryService`](DirectoryService-v3.md)/[`LdapTlsReqCert`](DirectoryService-v3.md#yaml-DirectoryService-LdapTlsReqCert)deve essere impostato su `hard` (impostazione predefinita) per LDAPS con verifica del certificato.
+ [`DirectoryService`](DirectoryService-v3.md)/[`LdapTlsCaCert`](DirectoryService-v3.md#yaml-DirectoryService-LdapTlsCaCert)deve specificare il percorso del certificato di autorità (CA).
Il certificato CA è un pacchetto di certificati che contiene i certificati dell'intera catena CA che ha emesso certificati per i controller di dominio AD.
Il certificato e i certificati CA devono essere installati nei nodi del cluster.
+ I nomi host dei controller devono essere specificati per [`DirectoryService`](DirectoryService-v3.md)/[`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr), non per gli indirizzi IP.
+ [`DirectoryService`](DirectoryService-v3.md)/la [`DomainReadOnlyUser`](DirectoryService-v3.md#yaml-DirectoryService-DomainReadOnlyUser)sintassi deve essere la seguente:
```
cn=ReadOnly,ou=Users,ou=CORP,dc={{corp}},dc={{example}},dc={{com}}
```
**Esempio di file di configurazione del cluster per l'utilizzo di AD su LDAPS:**
```
Region: region-id
Image:
Os: alinux2
HeadNode:
InstanceType: t2.micro
Networking:
SubnetId: subnet-1234567890abcdef0
Ssh:
KeyName: pcluster
Iam:
AdditionalIamPolicies:
- Policy: arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess
CustomActions:
OnNodeConfigured:
Script: s3://&example-s3-bucket;/scripts/pcluster-dub-msad-ldaps.post.sh
Scheduling:
Scheduler: slurm
SlurmQueues:
- Name: queue1
ComputeResources:
- Name: t2micro
InstanceType: t2.micro
MinCount: 1
MaxCount: 10
Networking:
SubnetIds:
- subnet-abcdef01234567890
Iam:
AdditionalIamPolicies:
- Policy: arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess
CustomActions:
OnNodeConfigured:
Script: s3://&example-s3-bucket;/scripts/pcluster-dub-msad-ldaps.post.sh
DirectoryService:
DomainName: dc=corp,dc=example,dc=com
DomainAddr: ldaps://win-abcdef01234567890.corp.example.com,ldaps://win-abcdef01234567890.corp.example.com
PasswordSecretArn: arn:aws:secretsmanager:region-id:123456789012:secret:MicrosoftAD.Admin.Password-1234
DomainReadOnlyUser: cn=ReadOnly,ou=Users,ou=CORP,dc=corp,dc=example,dc=com
LdapTlsCaCert: /etc/openldap/cacerts/corp.example.com.bundleca.cer
LdapTlsReqCert: hard
```
**Aggiungi certificati e configura i controller di dominio nello script post-installazione:**
```
*#!/bin/bash*
set -e
AD_CERTIFICATE_S3_URI="s3://{{amzn-s3-demo-bucket}}/bundle/corp.example.com.bundleca.cer"
AD_CERTIFICATE_LOCAL="/etc/openldap/cacerts/corp.example.com.bundleca.cer"
AD_HOSTNAME_1="win-abcdef01234567890.corp.example.com"
AD_IP_1="192.0.2.254"
AD_HOSTNAME_2="win-abcdef01234567890.corp.example.com"
AD_IP_2="203.0.113.225"
# Download CA certificate
mkdir -p $(dirname "${AD_CERTIFICATE_LOCAL}")
aws s3 cp "${AD_CERTIFICATE_S3_URI}" "${AD_CERTIFICATE_LOCAL}"
chmod 644 "${AD_CERTIFICATE_LOCAL}"
# Configure domain controllers reachability
echo "${AD_IP_1} ${AD_HOSTNAME_1}" >> /etc/hosts
echo "${AD_IP_2} ${AD_HOSTNAME_2}" >> /etc/hosts
```
**È possibile recuperare i nomi host dei controller di dominio dalle istanze aggiunte al dominio, come illustrato negli esempi seguenti.**
**Dall'istanza di Windows**
```
$ nslookup {{192.0.2.254}}
```
```
Server: corp.example.com
Address: 192.0.2.254
Name: win-abcdef01234567890.corp.example.com
Address: 192.0.2.254
```
**Dall'istanza Linux**
```
$ nslookup {{192.0.2.254}}
```
```
192.0.2.254.in-addr.arpa name = corp.example.com
192.0.2.254.in-addr.arpa name = win-abcdef01234567890.corp.example.com
```
## AWS Managed Microsoft AD su LDAPS senza verifica del certificato
È possibile utilizzare questo esempio per integrare il cluster con un protocollo LDAPS AWS Managed Microsoft AD tramite LDAPS, senza verifica del certificato.
**Definizioni specifiche per una configurazione AWS Managed Microsoft AD tramite LDAPS senza verifica del certificato:**
+ [`DirectoryService`](DirectoryService-v3.md)/[`LdapTlsReqCert`](DirectoryService-v3.md#yaml-DirectoryService-LdapTlsReqCert)deve essere impostato su. `never`
+ È possibile specificare i nomi host o gli indirizzi IP dei controller per [`DirectoryService`](DirectoryService-v3.md)/[`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr).
+ [`DirectoryService`](DirectoryService-v3.md)/la [`DomainReadOnlyUser`](DirectoryService-v3.md#yaml-DirectoryService-DomainReadOnlyUser)sintassi deve essere la seguente:
```
cn=ReadOnly,ou=Users,ou=CORP,dc={{corp}},dc={{example}},dc={{com}}
```
**Esempio di file di configurazione del cluster da utilizzare AWS Managed Microsoft AD su LDAPS senza verifica del certificato:**
```
Region: region-id
Image:
Os: alinux2
HeadNode:
InstanceType: t2.micro
Networking:
SubnetId: subnet-1234567890abcdef0
Ssh:
KeyName: pcluster
Scheduling:
Scheduler: slurm
SlurmQueues:
- Name: queue1
ComputeResources:
- Name: t2micro
InstanceType: t2.micro
MinCount: 1
MaxCount: 10
Networking:
SubnetIds:
- subnet-abcdef01234567890
DirectoryService:
DomainName: dc=corp,dc=example,dc=com
DomainAddr: ldaps://203.0.113.225,ldaps://192.0.2.254
PasswordSecretArn: arn:aws:secretsmanager:region-id:123456789012:secret:MicrosoftAD.Admin.Password-1234
DomainReadOnlyUser: cn=ReadOnly,ou=Users,ou=CORP,dc=corp,dc=example,dc=com
LdapTlsReqCert: never
```