翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # AD ドメインを含むクラスターを作成します。 **警告** この入門セクションでは、Lightweight Directory Access Protocol (LDAP) 経由で Managed Active Directory (AD) サーバー AWS ParallelCluster で を設定する方法について説明します。LDAP は安全でないプロトコルです。実稼働システムでは、以下の [LDAP(S) クラスター設定 AWS Managed Microsoft AD の例](examples-addir-v3.md) セクションで説明するように TLS 証明書 (LDAPS) の使用を強く推奨します。 クラスター設定ファイルの `DirectoryService` セクションに関連情報を指定して、クラスターをディレクトリと統合するように設定します。詳細については、[`DirectoryService`](DirectoryService-v3.md) 設定セクションを参照してください。 次の例を使用して、Lightweight Directory Access Protocol (LDAP) AWS Managed Microsoft AD 経由でクラスターを と統合できます。 **LDAP AWS Managed Microsoft AD 経由の設定に必要な特定の定義:** + [`DirectoryService`](DirectoryService-v3.md)/[`AdditionalSssdConfigs`](DirectoryService-v3.md#yaml-DirectoryService-AdditionalSssdConfigs) で `ldap_auth_disable_tls_never_use_in_production` パラメータを `True` に設定する必要があります。 + [`DirectoryService`](DirectoryService-v3.md)/[`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr) にはコントローラーのホスト名または IP アドレスのいずれかを指定できます。 + [`DirectoryService`](DirectoryService-v3.md)/[`DomainReadOnlyUser`](DirectoryService-v3.md#yaml-DirectoryService-DomainReadOnlyUser) 構文は次のようである必要があります。 ``` cn=ReadOnly,ou=Users,ou=CORP,dc=corp,dc=example,dc=com ``` ** AWS Managed Microsoft AD 設定データを取得します。** ``` $ aws ds describe-directories --directory-id "d-abcdef01234567890" ``` ``` { "DirectoryDescriptions": [ { "DirectoryId": "d-abcdef01234567890", "Name": "corp.example.com", "DnsIpAddrs": [ "203.0.113.225", "192.0.2.254" ], "VpcSettings": { "VpcId": "vpc-021345abcdef6789", "SubnetIds": [ "subnet-1234567890abcdef0", "subnet-abcdef01234567890" ], "AvailabilityZones": [ "region-idb", "region-idd" ] } } ] } ``` ** AWS Managed Microsoft ADのクラスター設定。** ``` Region: region-id Image: Os: alinux2 HeadNode: InstanceType: t2.micro Networking: SubnetId: subnet-1234567890abcdef0 Ssh: KeyName: pcluster Scheduling: Scheduler: slurm SlurmQueues: - Name: queue1 ComputeResources: - Name: t2micro InstanceType: t2.micro MinCount: 1 MaxCount: 10 Networking: SubnetIds: - subnet-abcdef01234567890 DirectoryService: DomainName: dc=corp,dc=example,dc=com DomainAddr: ldap://203.0.113.225,ldap://192.0.2.254 PasswordSecretArn: arn:aws:secretsmanager:region-id:123456789012:secret:MicrosoftAD.Admin.Password-1234 DomainReadOnlyUser: cn=ReadOnly,ou=Users,ou=CORP,dc=corp,dc=example,dc=com AdditionalSssdConfigs: ldap_auth_disable_tls_never_use_in_production: True ``` **Simple AD にこの設定を使用するには、`DirectoryService` セクションの `DomainReadOnlyUser` プロパティ値を変更します。** ``` DirectoryService: DomainName: dc=corp,dc=example,dc=com DomainAddr: ldap://203.0.113.225,ldap://192.0.2.254 PasswordSecretArn: arn:aws:secretsmanager:region-id:123456789012:secret:SimpleAD.Admin.Password-1234 DomainReadOnlyUser: cn=ReadOnlyUser,cn=Users,dc=corp,dc=example,dc=com AdditionalSssdConfigs: ldap_auth_disable_tls_never_use_in_production: True ``` **考慮事項:** + LDAP だけを使用するのではなく、TLS/SSL (または LDAPS) を介した LDAP を使用することをお勧めします。TLS/SSL は接続を確実に暗号化します。 + [`DirectoryService`](DirectoryService-v3.md)/[`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr) プロパティの値は、`describe-directories` 出力の `DnsIpAddrs` リスト内のエントリと一致します。 + クラスターには、[`DirectoryService`](DirectoryService-v3.md)/[`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr) が指しているのと同じアベイラビリティーゾーンにあるサブネットを使用することをお勧めします。ディレクトリ VPC に推奨される[カスタム Dynamic Host Configuration Protocol (DHCP) 設定](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/dhcp_options_set.html)を使用していて、サブネットが [`DirectoryService`](DirectoryService-v3.md)/[`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr) アベイラビリティーゾーンにない**場合、アベイラビリティーゾーン間のクロストラフィックが発生する可能性があります。マルチユーザー AD 統合機能を使用するために、カスタム DHCP 設定を使用する必要はありません**。 + [`DirectoryService`](DirectoryService-v3.md)/[`DomainReadOnlyUser`](DirectoryService-v3.md#yaml-DirectoryService-DomainReadOnlyUser) プロパティ値は、ディレクトリに作成する必要があるユーザーを指定します。このユーザーはデフォルトでは作成されません**。このユーザーにはディレクトリデータを変更するアクセス許可を与えない**ことをお勧めします。 + [`DirectoryService`](DirectoryService-v3.md) / [`PasswordSecretArn`](DirectoryService-v3.md#yaml-DirectoryService-PasswordSecretArn)プロパティ値は、/ [`DirectoryService`](DirectoryService-v3.md) [`DomainReadOnlyUser`](DirectoryService-v3.md#yaml-DirectoryService-DomainReadOnlyUser)プロパティに指定したユーザーのパスワードを含む AWS Secrets Manager シークレットを指します。このユーザーのパスワードが変更された場合は、シークレット値を更新してクラスターを更新してください。新しいシークレット値に合わせてクラスターを更新するには、`pcluster update-compute-fleet` コマンドを使用してコンピューティングフリートを停止する必要があります。[`LoginNodes`](LoginNodes-v3.md) を使用するようにクラスターを設定した場合は、[`LoginNodes`](LoginNodes-v3.md)/[`Pools`](LoginNodes-v3.md#LoginNodes-v3-Pools) を停止し、[`LoginNodes`](LoginNodes-v3.md)/[`Pools`](LoginNodes-v3.md#LoginNodes-v3-Pools)/[`Count`](LoginNodes-v3.md#yaml-LoginNodes-Pools-Count) を 0 に設定した後でクラスターを更新します。クラスターヘッドノード内から、次のコマンドを実行します。 ``` sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh ``` 別の例については、「[Active Directory の統合](tutorials_05_multi-user-ad.md)」を参照してください。