As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Crie um cluster com um domínio AD **Atenção** Esta seção introdutória descreve como configurar AWS ParallelCluster um servidor Gerenciado do Active Directory (AD) por meio do Lightweight Directory Access Protocol (LDAP). O LDAP é um protocolo inseguro. Para sistemas de produção, é altamente recomendável o uso de certificados TLS (LDAPS), conforme descrito na seção [Exemplo AWS Managed Microsoft AD de configurações de cluster LDAP (S)](examples-addir-v3.md) a seguir. Configure seu cluster para que ele se integrar a um diretório especificando as informações relevantes na seção `DirectoryService` do arquivo de configuração do cluster. Para obter mais informações, consulte a seção configuração [`DirectoryService`](DirectoryService-v3.md). Você pode usar este exemplo a seguir para integrar seu cluster com um AWS Managed Microsoft AD protocolo LDAP (Lightweight Directory Access Protocol). **Definições específicas que são necessárias para uma configuração AWS Managed Microsoft AD via LDAP:** + Você deve definir o parâmetro `ldap_auth_disable_tls_never_use_in_production` como `True` via [`DirectoryService`](DirectoryService-v3.md) / [`AdditionalSssdConfigs`](DirectoryService-v3.md#yaml-DirectoryService-AdditionalSssdConfigs). + Você pode especificar nomes de host do controlador ou endereços IP para [`DirectoryService`](DirectoryService-v3.md) / [`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr). + A sintaxe [`DirectoryService`](DirectoryService-v3.md) / [`DomainReadOnlyUser`](DirectoryService-v3.md#yaml-DirectoryService-DomainReadOnlyUser) deve ser conforme segue: ``` cn=ReadOnly,ou=Users,ou=CORP,dc=corp,dc=example,dc=com ``` **Obtenha seus dados AWS Managed Microsoft AD de configuração:** ``` $ aws ds describe-directories --directory-id "d-abcdef01234567890" ``` ``` { "DirectoryDescriptions": [ { "DirectoryId": "d-abcdef01234567890", "Name": "corp.example.com", "DnsIpAddrs": [ "203.0.113.225", "192.0.2.254" ], "VpcSettings": { "VpcId": "vpc-021345abcdef6789", "SubnetIds": [ "subnet-1234567890abcdef0", "subnet-abcdef01234567890" ], "AvailabilityZones": [ "region-idb", "region-idd" ] } } ] } ``` **Configuração de cluster para AWS Managed Microsoft AD:** ``` Region: region-id Image: Os: alinux2 HeadNode: InstanceType: t2.micro Networking: SubnetId: subnet-1234567890abcdef0 Ssh: KeyName: pcluster Scheduling: Scheduler: slurm SlurmQueues: - Name: queue1 ComputeResources: - Name: t2micro InstanceType: t2.micro MinCount: 1 MaxCount: 10 Networking: SubnetIds: - subnet-abcdef01234567890 DirectoryService: DomainName: dc=corp,dc=example,dc=com DomainAddr: ldap://203.0.113.225,ldap://192.0.2.254 PasswordSecretArn: arn:aws:secretsmanager:region-id:123456789012:secret:MicrosoftAD.Admin.Password-1234 DomainReadOnlyUser: cn=ReadOnly,ou=Users,ou=CORP,dc=corp,dc=example,dc=com AdditionalSssdConfigs: ldap_auth_disable_tls_never_use_in_production: True ``` **Para usar essa configuração para um Simple AD, altere o valor da propriedade `DomainReadOnlyUser` na seção `DirectoryService`:** ``` DirectoryService: DomainName: dc=corp,dc=example,dc=com DomainAddr: ldap://203.0.113.225,ldap://192.0.2.254 PasswordSecretArn: arn:aws:secretsmanager:region-id:123456789012:secret:SimpleAD.Admin.Password-1234 DomainReadOnlyUser: cn=ReadOnlyUser,cn=Users,dc=corp,dc=example,dc=com AdditionalSssdConfigs: ldap_auth_disable_tls_never_use_in_production: True ``` **Considerações:** + Recomendamos que você use o LDAP over TLS/SSL (ou LDAPS) em vez do LDAP sozinho. O TLS/SSL garante que a conexão seja criptografada. + O valor da propriedade [`DirectoryService`](DirectoryService-v3.md) / [`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr) corresponde às entradas na lista `DnsIpAddrs` da saída `describe-directories`. + Recomendamos que seu cluster use sub-redes localizadas na mesma zona de disponibilidade para a qual [`DirectoryService`](DirectoryService-v3.md) / [`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr) aponta. Se você usa uma [configuração personalizada do Dynamic Host Configuration Protocol (DHCP)](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/dhcp_options_set.html) recomendada para o diretório VPCs e suas sub-redes *não estão* localizadas na [`DirectoryService`](DirectoryService-v3.md)/[`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr)Availability Zone, o tráfego cruzado entre as zonas de disponibilidade é possível. O uso de configurações DHCP personalizadas *não é* necessário para usar o recurso de integração multiusuário do AD. + O valor da propriedade [`DirectoryService`](DirectoryService-v3.md) / [`DomainReadOnlyUser`](DirectoryService-v3.md#yaml-DirectoryService-DomainReadOnlyUser) especifica um usuário que deve ser criado no diretório. Esse usuário *não é* criado por padrão. Recomendamos que você *não* dê permissão a esse usuário para modificar os dados do diretório. + O valor da [`PasswordSecretArn`](DirectoryService-v3.md#yaml-DirectoryService-PasswordSecretArn)propriedade [`DirectoryService`](DirectoryService-v3.md)/aponta para um AWS Secrets Manager segredo que contém a senha do usuário que você especificou para a [`DomainReadOnlyUser`](DirectoryService-v3.md#yaml-DirectoryService-DomainReadOnlyUser)propriedade [`DirectoryService`](DirectoryService-v3.md)/. Se a senha desse usuário mudar, atualize o valor secreto e atualize o cluster. Para atualizar o cluster para o novo valor secreto, você deve interromper a frota de computação com o comando `pcluster update-compute-fleet`. Se você configurou seu cluster para usar [`LoginNodes`](LoginNodes-v3.md), interrompa o [`LoginNodes`](LoginNodes-v3.md) / [`Pools`](LoginNodes-v3.md#LoginNodes-v3-Pools) e atualize o cluster depois de definir o [`LoginNodes`](LoginNodes-v3.md) / [`Pools`](LoginNodes-v3.md#LoginNodes-v3-Pools) / [`Count`](LoginNodes-v3.md#yaml-LoginNodes-Pools-Count) para 0. Em seguida, execute o comando a seguir a partir do nó principal do cluster. ``` sudo /opt/parallelcluster/scripts/directory_service/update_directory_service_password.sh ``` Para obter outro exemplo, consulte também [Integração do Active Directory](tutorials_05_multi-user-ad.md).