As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Seção `DirectoryService`
**nota**
Support for `DirectoryService` adicionado na AWS ParallelCluster versão 3.1.1.
**(Opcional)** As configurações do serviço de diretório para um cluster que oferece suporte ao acesso de vários usuários.
AWS ParallelCluster gerencia permissões que oferecem suporte ao acesso de vários usuários a clusters com um Active Directory (AD) por meio do Lightweight Directory Access Protocol (LDAP) suportado pelo [System Security Services Daemon](https://sssd.io/docs/introduction.html) (SSSD). Para obter mais informações, consulte [O que é AWS Directory Service?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html) no *Guia AWS Directory Service de administração*.
Recomendamos que você use o LDAP over TLS/SSL (abreviado como LDAPS) para garantir que todas as informações potencialmente confidenciais sejam transmitidas por canais criptografados.
```
DirectoryService:
DomainName: string
DomainAddr: string
PasswordSecretArn: string
DomainReadOnlyUser: string
LdapTlsCaCert: string
LdapTlsReqCert: string
LdapAccessFilter: string
GenerateSshKeysForUsers: boolean
AdditionalSssdConfigs: dict
```
[Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
## Propriedades do `DirectoryService`
**nota**
Se você planeja usar AWS ParallelCluster em uma única sub-rede sem acesso à Internet, consulte [AWS ParallelCluster em uma única sub-rede sem acesso à Internet](aws-parallelcluster-in-a-single-public-subnet-no-internet-v3.md) os requisitos adicionais.
`DomainName` (**Obrigatório**, `String`)
O domínio do Active Directory (AD) que você usa para obter informações de identidade.
`DomainName` aceita os formatos de nome de domínio totalmente qualificado (FQDN) e nome distinto (DN) do LDAP.
+ Exemplo de FQDN: `corp.example.com`
+ Exemplo de LDAP DN: `DC=corp,DC=example,DC=com`
Essa propriedade corresponde ao parâmetro sssd-ldap que é chamado `ldap_search_base`.
[Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`DomainAddr` (**Obrigatório**, `String`)
O URI ou URIs aquele ponto para o controlador de domínio AD usado como servidor LDAP. Essa URI corresponde ao parâmetro SSSD-LDAP que é chamado `ldap_uri`. O valor pode ser uma sequência de caracteres separada por vírgula de URIs. Para usar o LDAP, você deve adicionar `ldap://` ao início de cada URI.
Valores de exemplo:
```
ldap://192.0.2.0,ldap://203.0.113.0 # LDAP
ldaps://192.0.2.0,ldaps://203.0.113.0 # LDAPS without support for certificate verification
ldaps://abcdef01234567890.corp.example.com # LDAPS with support for certificate verification
192.0.2.0,203.0.113.0 # AWS ParallelCluster uses LDAPS by default
```
Se você usa LDAPS com verificação de certificado, eles URIs devem ser nomes de host.
Se você usa LDAPS sem verificação de certificado ou LDAP, URIs podem ser nomes de host ou endereços IP.
Use o LDAP over TLS/SSL (LDAPS) para evitar a transmissão de senhas e outras informações confidenciais por canais não criptografados. Se AWS ParallelCluster não encontrar um protocolo, ele adicionará `ldaps://` ao início de cada URI ou nome de host.
[Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`PasswordSecretArn` (**Obrigatório**, `String`)
O Amazon Resource Name (ARN) do AWS Secrets Manager segredo que contém a senha em texto `DomainReadOnlyUser` simples. Esse conteúdo do segredo corresponde ao parâmetro SSSD-LDAP que é chamado `ldap_default_authtok`.
Ao usar o AWS Secrets Manager console para criar um segredo, certifique-se de selecionar “Outro tipo de segredo”, selecionar texto simples e incluir apenas o texto da senha no segredo.
Para obter mais informações sobre como usar AWS Secrets Manager para criar um segredo, consulte [Criar um AWS Secrets Manager segredo](https://docs.aws.amazon.com//secretsmanager/latest/userguide/create_secret).
O cliente LDAP usa a senha para se autenticar no domínio AD `DomainReadOnlyUser` quando solicita informações de identidade.
Se o usuário tiver a permissão para [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_DescribeSecret.html), `PasswordSecretArn` é validado. `PasswordSecretArn` é válido se o segredo especificado existir. Se a política do IAM do usuário não incluir `DescribeSecret`, `PasswordSecretArn` não for validada e uma mensagem de aviso será exibida. Para obter mais informações, consulte [Política básica de usuário `pcluster` do AWS ParallelCluster](iam-roles-in-parallelcluster-v3.md#iam-roles-in-parallelcluster-v3-base-user-policy).
Quando o valor do segredo muda, o cluster *não é* atualizado automaticamente. Para atualizar o cluster para o novo valor secreto, você deve interromper a frota de computação com o comando [`pcluster update-compute-fleet`](pcluster.update-compute-fleet-v3.md) e, em seguida, executar o comando a seguir a partir do nó principal.
```
$ sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh
```
[Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`DomainReadOnlyUser` (**Obrigatório**, `String`)
A identidade usada para consultar o domínio do AD para obter informações de identidade ao autenticar logins de usuários do cluster. Ele corresponde ao parâmetro SSSD-LDAP que é chamado `ldap_default_bind_dn`. Use suas informações de identidade do AD para esse valor.
Especifique a identidade no formato exigido pelo cliente LDAP específico que está no nó:
+ MicrosoftAD:
```
cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=example,dc=com
```
+ SimpleAD:
```
cn=ReadOnlyUser,cn=Users,dc=corp,dc=example,dc=com
```
[Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`LdapTlsCaCert` (**Opcional**, `String`)
O caminho absoluto para um pacote de certificados que contém os certificados de cada autoridade de certificação na cadeia de certificação que emitiu um certificado para os controladores de domínio. Ele corresponde ao parâmetro SSSD-LDAP que é chamado `ldap_tls_cacert`.
Um pacote de certificados é um arquivo composto pela concatenação de certificados distintos no formato PEM, também conhecido como formato DER Base64 no Windows. Ele é usado para verificar a identidade do controlador de domínio AD que atua como servidor LDAP.
AWS ParallelCluster não é responsável pela colocação inicial dos certificados nos nós. Como administrador do cluster, você pode configurar o certificado no nó principal manualmente após a criação do cluster ou usar um [script de bootstrap](custom-bootstrap-actions-v3.md). Como alternativa, é possível usar uma imagem de máquina da Amazon (AMI) que inclua o certificado configurado no nó principal.
O [Simple AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_simple_ad.html) não oferece suporte a LDAPS. Para saber como integrar um diretório Simple AD com AWS ParallelCluster, consulte [Como configurar um endpoint LDAPS para o Simple AD no blog](https://aws.amazon.com/blogs/security/how-to-configure-ldaps-endpoint-for-simple-ad/) de *AWS segurança*.
[Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`LdapTlsReqCert` (**Opcional**, `String`)
Especifica quais verificações devem ser realizadas nos certificados do servidor em uma sessão TLS. Ele corresponde ao parâmetro SSSD-LDAP que é chamado `ldap_tls_reqcert`.
Valores válidos: `never`, `allow`, `try`, `demand` e `hard`.
`never`, `allow` e `try` permite que as conexões continuem mesmo se forem encontrados problemas com os certificados.
`demand` e `hard` permite que a comunicação continue se nenhum problema com os certificados for encontrado.
Se o administrador do cluster usar um valor que não exija que a validação do certificado seja bem-sucedida, uma mensagem de aviso será retornada ao administrador. Por motivos de segurança, recomendamos que você não desabilite a verificação do certificado.
O valor padrão é `hard`.
[Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`LdapAccessFilter` (**Opcional**, `String`)
Especifica um filtro para limitar o acesso ao diretório a um subconjunto de usuários. Essa propriedade corresponde ao parâmetro SSSD-LDAP que é chamado `ldap_access_filter`. Você pode usá-lo para limitar as consultas a um AD que ofereça suporte a um grande número de usuários.
Esse filtro pode bloquear o acesso do usuário ao cluster. No entanto, isso não afeta a capacidade de descoberta de usuários bloqueados.
Se essa propriedade for definida, o parâmetro SSSD `access_provider` será definido como `ldap` internamente pelo AWS ParallelCluster e não deverá ser modificado pelas configurações [`DirectoryService`](#DirectoryService-v3) / [`AdditionalSssdConfigs`](#yaml-DirectoryService-AdditionalSssdConfigs).
Se essa propriedade for omitida e o acesso personalizado do usuário não for especificado em [`DirectoryService`](#DirectoryService-v3) / [`AdditionalSssdConfigs`](#yaml-DirectoryService-AdditionalSssdConfigs), todos os usuários no diretório poderão acessar o cluster.
Exemplos:
```
"!(cn=SomeUser*)" # denies access to every user with an alias that starts with "SomeUser"
"(cn=SomeUser*)" # allows access to every user with alias that starts with "SomeUser"
"memberOf=cn=TeamOne,ou=Users,ou=CORP,dc=corp,dc=example,dc=com" # allows access only to users in group "TeamOne".
```
[Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`GenerateSshKeysForUsers` (**Opcional**, `Boolean`)
Define se AWS ParallelCluster gera uma chave SSH para usuários do cluster imediatamente após a autenticação inicial no nó principal.
Se definido como `true`, uma chave SSH é gerada e salva `USER_HOME_DIRECTORY/.ssh/id_rsa`, se não existir, para cada usuário após a primeira autenticação no nó principal.
Para um usuário que ainda não foi autenticado no nó principal, a primeira autenticação pode ocorrer nos seguintes casos:
+ O usuário faz login no nó principal pela primeira vez com sua própria senha.
+ No nó principal, um sudoer muda para o usuário pela primeira vez: `su USERNAME`
+ No nó principal, um sudoer executa um comando como usuário pela primeira vez: `su -u USERNAME COMMAND`
Os usuários podem usar a chave SSH para logins subsequentes no nó principal do cluster e nos nós de computação. Com AWS ParallelCluster, os logins com senha nos nós de computação do cluster são desativados por design. Se um usuário não estiver conectado ao nó principal, as chaves SSH não serão geradas e o usuário não poderá fazer login nos nós de computação.
O padrão é `true`.
[Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)
`AdditionalSssdConfigs` (**Opcional**, `Dict`)
Um dicionário de pares de valores-chave que contêm parâmetros e valores SSSD para gravar no arquivo de configuração SSSD em instâncias de cluster. Para obter uma descrição completa do arquivo de configuração SSSD, consulte as páginas do manual na instância `SSSD` e os arquivos de configuração relacionados.
Os parâmetros e valores do SSSD devem ser compatíveis com a configuração AWS ParallelCluster do SSSD, conforme descrito na lista a seguir.
+ `id_provider`está definido como `ldap` internamente por AWS ParallelCluster e não deve ser modificado.
+ `access_provider`é definido como `ldap` internamente AWS ParallelCluster quando [`DirectoryService`](#DirectoryService-v3)/[`LdapAccessFilter`](#yaml-DirectoryService-LdapAccessFilter)é especificado, e essa configuração não deve ser modificada.
Se [`DirectoryService`](#DirectoryService-v3) / [`LdapAccessFilter`](#yaml-DirectoryService-LdapAccessFilter) for omitido, sua especificação `access_provider` também será omitida. Por exemplo, se você definir `access_provider` como `simple` no [`AdditionalSssdConfigs`](#yaml-DirectoryService-AdditionalSssdConfigs), então [`DirectoryService`](#DirectoryService-v3) / [`LdapAccessFilter`](#yaml-DirectoryService-LdapAccessFilter) deverá ser especificado.
Os trechos de configuração a seguir são exemplos de configurações válidas para `AdditionalSssdConfigs`.
Este exemplo ativa o nível de depuração para registros SSSD, restringe a base de pesquisa a uma unidade organizacional específica e desativa o cache de credenciais.
```
DirectoryService:
...
AdditionalSssdConfigs:
debug_level: "0xFFF0"
ldap_search_base: OU=Users,OU=CORP,DC=corp,DC=example,DC=com
cache_credentials: False
```
Este exemplo especifica a configuração de um SSSD [https://www.mankier.com/5/sssd-simple](https://www.mankier.com/5/sssd-simple) `access_provider`. Os usuários do `EngineeringTeam` têm acesso ao diretório. [`DirectoryService`](#DirectoryService-v3) / [`LdapAccessFilter`](#yaml-DirectoryService-LdapAccessFilter) não deve ser definido neste caso.
```
DirectoryService:
...
AdditionalSssdConfigs:
access_provider: simple
simple_allow_groups: EngineeringTeam
```
[Política de atualização: a frota de computação deve ser interrompida para que essa configuração seja alterada para uma atualização.](using-pcluster-update-cluster-v3.md#update-policy-compute-fleet-v3)