DirectoryService 部分 - Amazon ParallelCluster
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

DirectoryService 部分

注意

对该项的支持DirectoryService添加了Amazon ParallelCluster版本 3.1.1。

(可选)支持多个用户访问的群集的目录服务设置。

Amazon ParallelCluster管理支持多个用户访问使用 Active Directory (AD) 而不是轻量目录访问协议 (LDAP) 的权限系统安全服务守护程序 (SSSD). 有关更多信息,请参阅 。是什么Amazon Directory Service?中的Amazon Directory Service管理指南.

我们建议您在 TLS/SSL 上使用 LDAP(简称 LDAPS),以确保任何潜在的敏感信息都通过加密渠道传输。

DirectoryService: DomainName: string DomainAddr: string PasswordSecretArn: string DomainReadOnlyUser: string LdapTlsCaCert: string LdapTlsReqCert: string LdapAccessFilter: string GenerateSshKeysForUsers: boolean AdditionalSssdConfigs: dict

DirectoryService属性

注意

如果你计划使用Amazon ParallelCluster在无法访问互联网的单个子网中,请参阅Amazon ParallelCluster在单个子网中,无法访问 Internet以获得额外要求。

DomainName(必需String

用于存储身份信息的 Active Directory (AD) 域。此属性对应于被称为的 sssd-LDAP 参数ldap_search_base.

使用 LDAP 客户端在节点上所需的语法(例如,dc=corp,dc=pcluster,dc=com) 执行以下操作:

  • 限制 AD 域中配置多个域的部分。

  • 更改查询的范围。

  • 添加筛选器。

更新策略:必须停止计算队列才能更改此设置才能进行更新。

DomainAddr(必需String

指向用作 LDAP 服务器的 AD 域控制器的 URI 或 URI。URI 对应于被称为的 sssd-LDAP 参数ldap_uri. 该值可以是逗号分隔的 URI 字符串。要使用 LDAP,必须添加ldap://到每个 URI 的开头。

示例值:

ldap://192.0.2.0,ldap://203.0.113.0 # LDAP ldaps://192.0.2.0,ldaps://203.0.113.0 # LDAPS without support for certificate verification ldaps://abcdef01234567890.corp.pcluster.com # LDAPS with support for certificate verification 192.0.2.0,203.0.113.0 # Amazon ParallelCluster uses LDAPS by default

如果您将 LDAPS 与证书验证结合使用,URI 必须是主机名。

如果您在没有证书验证或 LDAP 的情况下使用 LDAPS,URI 可以是主机名或 IP 地址。

使用 LDAP 通过 TLS/SSL (LDAPS) 避免通过未加密的渠道传输密码和其他敏感信息。如果Amazon ParallelCluster它补充说,找不到协议ldaps://到每个 URI 或主机名的开头。

更新策略:必须停止计算队列才能更改此设置才能进行更新。

PasswordSecretArn(必需String

的 Amazon 资源名称 (ARN)Amazon Secrets Manager包含密码的秘密。此 ARN 对应于被称为的 sssd-LDAP 参数ldap_default_authtok.

LDAP 客户端使用密码向 AD 域进行身份验证DomainReadOnlyUser在请求身份信息时。

当密码的价值发生变化时,集群不是自动更新。要为新的密钥值更新集群,请手动更新集群或运行以下命令。

$ sudo cinc-client \ --local-mode \ --config /etc/chef/client.rb \ --log_level auto \ --force-formatter \ --no-color \ --chef-zero-port 8889 \ --json-attributes /etc/chef/dna.json \ --override-runlist aws-parallelcluster-config::directory_service

更新策略:必须停止计算队列才能更改此设置才能进行更新。

DomainReadOnlyUser(必需String

在对群集用户登录进行身份验证时,用于查询 AD 域以获取身份信息的身份。它对应于被称为的 sssd-LDAP 参数ldap_default_bind_dn. 为此值使用您的 AD 身份信息。

在节点上的特定 LDAP 客户端所需的表单中指定身份:

  • MicroSoftAD:

    cn=ReadOnlyUser,ou=Users,ou=CORP,dc=corp,dc=pcluster,dc=com
  • SimpleAD:

    cn=ReadOnlyUser,cn=Users,dc=corp,dc=pcluster,dc=com

更新策略:必须停止计算队列才能更改此设置才能进行更新。

LdapTlsCaCert(可选String

证书捆绑包的绝对路径,其中包含证书链中为域控制器颁发证书的每个证书颁发机构的证书。它对应于被称为的 sssd-LDAP 参数ldap_tls_cacert.

证书捆绑包是由 PEM 格式的不同证书串联组成的文件,在 Windows 中也称为 DER Base64 格式。它用于验证充当 LDAP 服务器的 AD 域控制器的身份。

Amazon ParallelCluster不负责将证书初始放置到节点上。作为群集管理员,您可以在创建群集后在头节点中手动配置证书,也可以使用引导脚本. 或者,您可以使用包含在头节点上配置的证书的 Amazon 系统映像 (AMI)。

Simple AD不提供 LDAPS 支持。了解如何将简单 AD 目录与Amazon ParallelCluster,请参阅如何为 Simple AD 配置 LDAPS 终端节点中的Amazon安全博客.

更新策略:必须停止计算队列才能更改此设置才能进行更新。

LdapTlsReqCert(可选String

指定在 TLS 会话中对服务器证书执行的检查。它对应于被称为的 sssd-LDAP 参数ldap_tls_reqcert.

有效值:neverallowtrydemandhard

neverallow, 和try即使发现证书有问题,也可以继续连接。

demandhard如果发现证书没有问题,则允许继续通信。

如果群集管理员使用的值不需要证书验证即可成功,则会向管理员返回警告消息。为安全考虑,我们建议您不要禁用证书验证。

原定设置值为 hard

更新策略:必须停止计算队列才能更改此设置才能进行更新。

LdapAccessFilter(可选String

指定一个筛选器,以将 LDAP 查询限制为正在查询的目录的子集。此属性对应于被称为的 sssd-LDAP 参数ldap_access_filter. 您可以使用它将查询限制为支持大量用户的广告。

此筛选器可以阻止用户访问集群。但是,它不会影响被阻止的用户的可发现性。

如果省略此属性,则目录中的所有用户都可以访问集群。

示例:

"!(cn=SomeUser*)" # denies access to every user with alias starting with "SomeUser" "(cn=SomeUser*)" # allows access to every user with alias starting with "SomeUser" "memberOf=cn=TeamOne,ou=Users,ou=CORP,dc=corp,dc=pcluster,dc=com" # allows access only to users in group "TeamOne".

更新策略:必须停止计算队列才能更改此设置才能进行更新。

GenerateSshKeysForUsers(可选Boolean

定义是否Amazon ParallelCluster集群用户首次登录头节点后,为他们生成 SSH 密钥对。key pair 保存到用户主目录/home/username/.ssh/. 用户可以使用 SSH key pair 进行后续登录群集头节点和计算节点。与Amazon ParallelCluster,集群计算节点的登录被设计禁用。如果用户尚未登录头节点,则不会生成 SSH 密钥,用户将无法登录计算节点。

默认情况下,Amazon ParallelCluster在初次登录时为每个用户生成一个 SSH key pair。

默认为 TRUE

更新策略:必须停止计算队列才能更改此设置才能进行更新。

AdditionalSssdConfigs(可选Dict

键值对的字典,其中包含任意 SSSD 参数和要写入群集实例上 SSSD 配置文件的值。有关 SSSD 配置文件的完整说明,请参阅sssdsssd-ldap.

更新策略:必须停止计算队列才能更改此设置才能进行更新。