As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Exemplo AWS Managed Microsoft AD de configurações de cluster LDAP (S)
AWS ParallelCluster oferece suporte ao acesso de vários usuários por meio da integração com um Lightweight Directory Access Protocol (LDAP) ou LDAP AWS Directory Service over (LDAPS). TLS/SSL
Os exemplos a seguir mostram como criar configurações de cluster para integração com um AWS Managed Microsoft AD sobre LDAP(S).
## AWS Managed Microsoft AD sobre LDAPS com verificação de certificado
Você pode usar este exemplo para integrar seu cluster com um AWS Managed Microsoft AD LDAPS, com verificação de certificado.
**Definições específicas para uma configuração AWS Managed Microsoft AD de mais de LDAPS com certificados:**
+ [`DirectoryService`](DirectoryService-v3.md) / [`LdapTlsReqCert`](DirectoryService-v3.md#yaml-DirectoryService-LdapTlsReqCert) deve ser definido como `hard` (padrão) para LDAPS com verificação de certificado.
+ [`DirectoryService`](DirectoryService-v3.md) / [`LdapTlsCaCert`](DirectoryService-v3.md#yaml-DirectoryService-LdapTlsCaCert) deve especificar o caminho para seu certificado de autoridade (CA).
O certificado CA é um pacote de certificados que contém os certificados de toda a cadeia de CA que emitiu certificados para os controladores de domínio AD.
Seu certificado CA e seus certificados devem estar instalados nos nós do cluster.
+ Os nomes de host dos controladores devem ser especificados para [`DirectoryService`](DirectoryService-v3.md) / [`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr), não para endereços IP.
+ A sintaxe [`DirectoryService`](DirectoryService-v3.md) / [`DomainReadOnlyUser`](DirectoryService-v3.md#yaml-DirectoryService-DomainReadOnlyUser) deve ser conforme segue:
```
cn=ReadOnly,ou=Users,ou=CORP,dc={{corp}},dc={{example}},dc={{com}}
```
**Exemplo de arquivo de configuração de cluster para usar o AD sobre LDAPS:**
```
Region: region-id
Image:
Os: alinux2
HeadNode:
InstanceType: t2.micro
Networking:
SubnetId: subnet-1234567890abcdef0
Ssh:
KeyName: pcluster
Iam:
AdditionalIamPolicies:
- Policy: arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess
CustomActions:
OnNodeConfigured:
Script: s3://&example-s3-bucket;/scripts/pcluster-dub-msad-ldaps.post.sh
Scheduling:
Scheduler: slurm
SlurmQueues:
- Name: queue1
ComputeResources:
- Name: t2micro
InstanceType: t2.micro
MinCount: 1
MaxCount: 10
Networking:
SubnetIds:
- subnet-abcdef01234567890
Iam:
AdditionalIamPolicies:
- Policy: arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess
CustomActions:
OnNodeConfigured:
Script: s3://&example-s3-bucket;/scripts/pcluster-dub-msad-ldaps.post.sh
DirectoryService:
DomainName: dc=corp,dc=example,dc=com
DomainAddr: ldaps://win-abcdef01234567890.corp.example.com,ldaps://win-abcdef01234567890.corp.example.com
PasswordSecretArn: arn:aws:secretsmanager:region-id:123456789012:secret:MicrosoftAD.Admin.Password-1234
DomainReadOnlyUser: cn=ReadOnly,ou=Users,ou=CORP,dc=corp,dc=example,dc=com
LdapTlsCaCert: /etc/openldap/cacerts/corp.example.com.bundleca.cer
LdapTlsReqCert: hard
```
**Adicione certificados e configure controladores de domínio no script de pós-instalação:**
```
*#!/bin/bash*
set -e
AD_CERTIFICATE_S3_URI="s3://{{amzn-s3-demo-bucket}}/bundle/corp.example.com.bundleca.cer"
AD_CERTIFICATE_LOCAL="/etc/openldap/cacerts/corp.example.com.bundleca.cer"
AD_HOSTNAME_1="win-abcdef01234567890.corp.example.com"
AD_IP_1="192.0.2.254"
AD_HOSTNAME_2="win-abcdef01234567890.corp.example.com"
AD_IP_2="203.0.113.225"
# Download CA certificate
mkdir -p $(dirname "${AD_CERTIFICATE_LOCAL}")
aws s3 cp "${AD_CERTIFICATE_S3_URI}" "${AD_CERTIFICATE_LOCAL}"
chmod 644 "${AD_CERTIFICATE_LOCAL}"
# Configure domain controllers reachability
echo "${AD_IP_1} ${AD_HOSTNAME_1}" >> /etc/hosts
echo "${AD_IP_2} ${AD_HOSTNAME_2}" >> /etc/hosts
```
**Você pode recuperar os nomes de host dos controladores de domínio das instâncias associadas ao domínio, conforme mostrado nos exemplos a seguir.**
**Da instância do Windows**
```
$ nslookup {{192.0.2.254}}
```
```
Server: corp.example.com
Address: 192.0.2.254
Name: win-abcdef01234567890.corp.example.com
Address: 192.0.2.254
```
**Da instância do Linux**
```
$ nslookup {{192.0.2.254}}
```
```
192.0.2.254.in-addr.arpa name = corp.example.com
192.0.2.254.in-addr.arpa name = win-abcdef01234567890.corp.example.com
```
## AWS Managed Microsoft AD sobre LDAPS sem verificação de certificado
Você pode usar esse exemplo para integrar seu cluster com um AWS Managed Microsoft AD LDAPS, sem verificação de certificado.
**Definições específicas para uma configuração AWS Managed Microsoft AD de mais de LDAPS sem verificação de certificado:**
+ [`DirectoryService`](DirectoryService-v3.md) / [`LdapTlsReqCert`](DirectoryService-v3.md#yaml-DirectoryService-LdapTlsReqCert) deve ser definido como `never`.
+ Você pode especificar nomes de host do controlador ou endereços IP para [`DirectoryService`](DirectoryService-v3.md) / [`DomainAddr`](DirectoryService-v3.md#yaml-DirectoryService-DomainAddr).
+ A sintaxe [`DirectoryService`](DirectoryService-v3.md) / [`DomainReadOnlyUser`](DirectoryService-v3.md#yaml-DirectoryService-DomainReadOnlyUser) deve ser conforme segue:
```
cn=ReadOnly,ou=Users,ou=CORP,dc={{corp}},dc={{example}},dc={{com}}
```
**Exemplo de arquivo de configuração de cluster para uso AWS Managed Microsoft AD em LDAPS sem verificação de certificado:**
```
Region: region-id
Image:
Os: alinux2
HeadNode:
InstanceType: t2.micro
Networking:
SubnetId: subnet-1234567890abcdef0
Ssh:
KeyName: pcluster
Scheduling:
Scheduler: slurm
SlurmQueues:
- Name: queue1
ComputeResources:
- Name: t2micro
InstanceType: t2.micro
MinCount: 1
MaxCount: 10
Networking:
SubnetIds:
- subnet-abcdef01234567890
DirectoryService:
DomainName: dc=corp,dc=example,dc=com
DomainAddr: ldaps://203.0.113.225,ldaps://192.0.2.254
PasswordSecretArn: arn:aws:secretsmanager:region-id:123456789012:secret:MicrosoftAD.Admin.Password-1234
DomainReadOnlyUser: cn=ReadOnly,ou=Users,ou=CORP,dc=corp,dc=example,dc=com
LdapTlsReqCert: never
```