DirectoryService セクション - AWS ParallelCluster
DirectoryService のプロパティ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

DirectoryService セクション

注記

AWS ParallelCluster バージョン 3.1.1 で のサポートが追加されDirectoryServiceました。

(オプション) 複数のユーザーアクセスをサポートするクラスターのディレクトリサービス設定。

AWS ParallelCluster は、System Security Services Daemon (SSSD) でサポートされている Lightweight Directory Access Protocol (LDAP) を介した Active Directory (AD) を持つクラスターへの複数のユーザーアクセスをサポートするアクセス許可を管理します。詳細については、「 AWS Directory Service 管理ガイド」の「What is AWS Directory Service?」を参照してください。

潜在的に機密性の高い情報が暗号化されたチャネルを介して送信されるように LDAP over TLS/SSL (略して LDAPS) を使用することをお勧めします。

DirectoryService:
  DomainName: string
  DomainAddr: string
  PasswordSecretArn: string
  DomainReadOnlyUser: string
  LdapTlsCaCert: string
  LdapTlsReqCert: string
  LdapAccessFilter: string
  GenerateSshKeysForUsers: boolean
  AdditionalSssdConfigs: dict

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

DirectoryService のプロパティ

注記

インターネットアクセスのない 1 つのサブネット AWS ParallelCluster で を使用する予定がある場合は、追加の要件AWS ParallelCluster インターネットアクセスのない 1 つのサブネット内について「」を参照してください。

DomainName (必須)String)

ID 情報に使用するアクティブディレクトリ (AD) ドメイン。

DomainName は、完全修飾ドメイン名 (FQDN) と LDAP 識別名 (DN) の両方の形式を受け入れます。

  • FQDN の例: corp.example.com

  • LDAP DN の例: DC=corp,DC=example,DC=com

このプロパティは、ldap_search_base で呼び出される sssd-ldap パラメータに対応します。

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

DomainAddr (必須)String)

LDAP サーバーとして使用される AD ドメインコントローラーを指す URI。ldap_uri で呼び出される SSSD-LDAP パラメータに対応する URI。値はカンマ区切りの URI の文字列になることもあります。LDAP を使用するには、各 URI の先頭に ldap:// を追加する必要があります。

値の例:

ldap://192.0.2.0,ldap://203.0.113.0          # LDAP
ldaps://192.0.2.0,ldaps://203.0.113.0        # LDAPS without support for certificate verification
ldaps://abcdef01234567890.corp.example.com  # LDAPS with support for certificate verification
192.0.2.0,203.0.113.0                        # AWS ParallelCluster uses LDAPS by default

LDAPS を証明書検証と共に使用する場合、URI はホスト名である必要があります。

証明書検証なしで LDAPS または LDAP を使用する場合、URI はホスト名または IP アドレスのいずれかになります。

パスワードやその他の機密情報が暗号化されていないチャネルを介して送信されるのを回避するには、LDAP over TLS/SSL (LDAPS) を使用します。 AWS ParallelCluster でプロトコルが見つからない場合は、各 URI またはホスト名の先頭に ldaps:// が追加されます。

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

PasswordSecretArn (必須)String)

プレーンテキストのパスワードを含む AWS Secrets Manager シークレットの Amazon DomainReadOnlyUser リソースネーム (ARN)。シークレットの内容は、ldap_default_authtok で呼び出される SSSD-LDAP パラメータに対応します。

注記

AWS Secrets Manager コンソールを使用してシークレットを作成する場合は、「その他のタイプのシークレット」を選択し、プレーンテキストを選択し、パスワードテキストのみをシークレットに含めます。

AWS Secrets Manager を使用してシークレットを作成する方法の詳細については、「 シークAWS Secrets Manager レットの作成」を参照してください。

LDAP クライアントは、ID 情報をリクエストDomainReadOnlyUserするときに、パスワードを使用して AD ドメインを として認証します。

ユーザーに DescribeSecret のアクセス許可がある場合、PasswordSecretArn が検証されます。指定されたシークレットが存在する場合、PasswordSecretArn は有効です。ユーザーの IAM ポリシーに DescribeSecret が含まれていない場合、PasswordSecretArn は検証されず、警告メッセージが表示されます。詳細については、「AWS ParallelCluster pcluster 基本ユーザーポリシー」を参照してください。

シークレットの値が変更された場合、クラスターは自動的に更新されません。クラスターを新しいシークレット値に更新するには、pcluster update-compute-fleet コマンドを使用してコンピューティングフリートを停止し、ヘッドノード内から次のコマンドを実行します。

$ sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

DomainReadOnlyUser (必須)String)

クラスターユーザーのログインを認証するとき、AD ドメインに ID 情報をクエリするために使用される ID。ldap_default_bind_dn で呼び出される SSSD-LDAP パラメータに対応します。この値には AD ID 情報を使用してください。

ノードの特定の LDAP クライアントが必要とする形式で ID を指定します。

  • MicrosoftAD:

    cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com

  • SimpleAD:

    cn=ReadOnlyUser,cn=Users,dc=corp,dc=example,dc=com

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

LdapTlsCaCert (オプションString)

ドメインコントローラーの証明書を発行した証明書チェーン内のすべての認証機関の証明書を含む証明書バンドルへの絶対パス。ldap_tls_cacert で呼び出される SSSD-LDAP パラメータに対応します。

証明書バンドルは Windows では DER Base64 形式とも呼ばれる PEM 形式 の個別の証明書を連結して構成されたファイルです。これは、LDAP サーバーとして機能する AD ドメインコントローラーの ID を検証するために使用されます。

AWS ParallelCluster は、ノードへの証明書の初期配置には責任を負いません。クラスター管理者として、クラスターの作成後にヘッドノードの証明書を手動で設定することも、ブートストラップスクリプトを使用することもできます。または、ヘッドノードで設定された証明書を含む Amazon マシンイメージ (AMI) を使用することもできます。

Simple AD は LDAPS をサポートしていません。Simple AD ディレクトリを と統合する方法については AWS ParallelCluster、 AWS セキュリティブログ「How to configure an LDAPS endpoint for Simple AD」を参照してください。

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

LdapTlsReqCert (オプションString)

TLS セッションでサーバー証明書に対して実行する確認内容を指定します。ldap_tls_reqcert で呼び出される SSSD-LDAP パラメータに対応します。

有効な値: neverallowtrydemand、および hard

neverallow、および try は、証明書の問題が見つかった場合でも接続を続行できるようにします。

demand および hard は、証明書に問題がない場合でも通信を継続できるようにします。

クラスター管理者が証明書の検証の成功を必要としない値を使用した場合、警告メッセージが管理者に返されます。セキュリティ上の理由から、証明書の検証を無効にしないことをお勧めします。

デフォルト値は hard です。

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

LdapAccessFilter (オプションString)

ディレクトリアクセスを一部のユーザーに制限するフィルターを指定します。このプロパティは、ldap_access_filter で呼び出される SSSD-LDAP パラメータに対応します。これを使用して、多数のユーザーをサポートする AD へのクエリに制限できます。

このフィルターは、クラスターへのユーザーアクセスをブロックできます。ただし、ブロックされたユーザーの検出性には影響しません。

このプロパティが設定されている場合、SSSD パラメータ access_provider は AWS ParallelCluster によって内部で ldap に設定され、DirectoryService/AdditionalSssdConfigs 設定では変更できません。

このプロパティを省略し、カスタマイズされたユーザーアクセスを DirectoryService/AdditionalSssdConfigs で指定していない場合、ディレクトリ内のすべてのユーザーがクラスターにアクセスできます。

例:

"!(cn=SomeUser*)"  # denies access to every user with an alias that starts with "SomeUser"
"(cn=SomeUser*)"   # allows access to every user with alias that starts with "SomeUser"
"memberOf=cn=TeamOne,ou=Users,ou=CORP,dc=corp,dc=example,dc=com" # allows access only to users in group "TeamOne".

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

GenerateSshKeysForUsers (オプションBoolean)

がヘッドノードでの最初の認証の直後にクラスターユーザーに SSH キー AWS ParallelCluster を生成するかどうかを定義します。

true に設定すると、ヘッドノードでの最初の認証後、すべてのユーザーについて SSH キーが存在しない場合に生成されて USER_HOME_DIRECTORY/.ssh/id_rsa に保存されます。

ヘッドノードでまだ認証されていないユーザーの場合、次のような場合に初回認証が行われます。

  • ユーザーが自身のパスワードで初めてヘッドノードにログインします。

  • ヘッドノードで、sudoer が初めてそのユーザーに切り替えます。su USERNAME

  • ヘッドノードで、sudoer が初めてそのユーザーとしてコマンドを実行します。su -u USERNAME COMMAND

それ以降は、ユーザーは SSH キーを使用して、クラスターヘッドノードとコンピューティングノードにログインできます。では AWS ParallelCluster、クラスターコンピューティングノードへのパスワードログインは設計上無効になっています。ユーザーがヘッドノードにログインしたことがない場合、SSH キーは生成されず、ユーザーはコンピューティングノードにログインすることはできません。

デフォルトは true です。

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。

AdditionalSssdConfigs (オプションDict)

クラスターインスタンスの SSSD 設定ファイルに書き込む SSSD パラメータと値を含むキーと値のペアのディクショナリ。SSSD 設定ファイルの説明については、SSSD および関連設定ファイルのインスタンスのマニュアルページを参照してください。

SSSD パラメータと値は、次のリストで説明されているように AWS ParallelCluster、 の SSSD 設定と互換性がある必要があります。

  • id_provider は によってldap内部的に に設定 AWS ParallelCluster されるため、変更しないでください。

  • access_provider は、/ DirectoryService LdapAccessFilterが指定され AWS ParallelCluster ている場合、 によってldap内部的に に設定されます。この設定は変更しないでください。

    DirectoryService/LdapAccessFilter を省略すると、その access_provider の指定も省略されます。例えば、AdditionalSssdConfigsaccess_providersimple に設定した場合、DirectoryService/LdapAccessFilter は指定しないでください。

次の設定スニペットは、AdditionalSssdConfigs の有効な設定の例です。

この例では、SSSD ログのデバッグレベルを有効にし、検索ベースを特定の組織単位に制限し、認証情報のキャッシュを無効にしています。

DirectoryService:
  ...
  AdditionalSssdConfigs:
    debug_level: "0xFFF0"
    ldap_search_base: OU=Users,OU=CORP,DC=corp,DC=example,DC=com
    cache_credentials: False

この例では SSSD simple access_provider の設定を指定しています。EngineeringTeam からのユーザーにはディレクトリへのアクセス許可が与えられます。この場合、DirectoryService/LdapAccessFilter は設定できません。

DirectoryService:
  ...
  AdditionalSssdConfigs:
    access_provider: simple
    simple_allow_groups: EngineeringTeam

更新ポリシー: この設定を更新で変更するためには、コンピューティングフリートを停止する必要があります。