Gestion des utilisateurs AWS ParallelCluster SSH avec OpenLDAP: idk.dev – Serveur d’impression

  • nintendo Minecraft Dungeons : Hero Edition game - Nintendo Switch -
    Faites-vous un chemin à travers une toute nouvelle aventure qui se déroule dans l’univers Minecraft et s’inspire des robots de combat Dungeon classiques. Défiez les Dungeons seul ou avec vos amis ! Quatre joueurs peuvent essayer ensemble de trouver un chemin à travers divers niveaux remplis de trésors, dans
  • Pop! Vinyl Figurine Pop Princesse Bumblegum - Adventure Time x Minecraft
    Vos personnages préférés de  sont maintenant disponibles en Funko Pop ! Vinyl ! Cette figurine mesure environ 9 cm et elle est emballée en boîte-fenêtre.
  • Une année avec Minecraft 1998 - Stéphane Pilet - Livre
    Calendriers-Agenda - Occasion - Bon Etat - 404 poche - Poche - Structure Coopérative d'insertion à but non lucratif.
  • Groupon Goods Global GmbH Housse de couette Parure de lit Minecraft simple ou double
    Ces couettes colorées sont conçues dans le style cubique classique de Minecraft
  • Pop! Vinyl Figurine Pop! Princesse Bonnibel Chewing-Gum - Adventure Time x Minecraft
    Vos personnages préférés d'Adventure Time x Minecraft sont maintenant disponibles en Funko Pop ! Vinyl ! Cette figurine mesure environ 9 cm et elle est emballée en boîte-fenêtre.
  • Journal d'un noob (méga guerrier) Tome III : Minecraft - Cube Kid - Livre
    Science-fiction & Fantasy - Occasion - Bon Etat - 404 GF - Grand Format - Structure Coopérative d'insertion à but non lucratif.
  • La quête de l'épée de diamant - Winter Morgan - Livre
    Roman - Occasion - Bon Etat - Minecraft - Poche - Structure Coopérative d'insertion à but non lucratif.

Une demande courante des utilisateurs d'AWS ParallelCluster est d'avoir la possibilité de déployer plusieurs comptes utilisateur POSIX. Le wiki sur la page GitHub du projet décrit un mécanisme simple pour y parvenir, et un article de blog précédent, «AWS ParallelCluster avec AWS Directory Services Authentication», explique comment intégrer AWS ParallelCluster à AWS Directory Service. Cependant, certains clients peuvent préférer un service d'annuaire traditionnel hébergé localement sur le cluster pour permettre une administration plus pratique. Cela élimine la nécessité d'arrêter et de redémarrer le nœud principal ou de connaître les détails de la gestion d'Active Directory.

Un environnement AWS ParallelCluster multi-utilisateurs est idéal pour les cas dans lesquels une équipe de scientifiques ou d'ingénieurs collabore étroitement et a besoin de partager des ressources, telles que des données ou un budget de compte. L'utilisation d'un seul ensemble de systèmes de fichiers facilite la gestion des clusters pour l'administrateur, en particulier s'ils sont nouveaux sur AWS. Lorsque le temps de mise en solution et les dépenses totales doivent être soigneusement équilibrés, il est également utile de faire exécuter les tâches de plusieurs utilisateurs dans un seul planificateur.

Dans cet article, nous décrivons comment activer le service d'annuaire OpenLDAP sur le nœud principal du cluster. Cette activation peut créer et synchroniser une collection locale d'utilisateurs.

Le processus documenté ici s'applique aux clusters déployés à l'aide du système d'exploitation CentOS 7, pour AWS ParallelCluster version 2.8.1. D'autres systèmes d'exploitation peuvent suivre un processus similaire, mais nécessiteront des modifications mineures des commandes utilisées pour installer les packages pertinents (par exemple, en utilisant apt-get au lieu de Miam).

Après avoir installé et configuré l'outil de ligne de commande AWS ParallelCluster, définissez les paramètres de configuration post_installer et s3_read_resource (ou s3_read_write_resource) pour permettre à un script d'être exécuté sur la tête du cluster et de calculer les nœuds au moment du démarrage. Voici un exemple de fichier de configuration minimale pour déployer un cluster basé sur Slurm à l'aide d'instances C5n.18xlarge, parfaitement adaptées à la mise à l'échelle des charges de travail HPC:

[aws]



aws_region_name = eu-west-1
[global]
update_check = vrai
sanity_check = vrai
cluster_template = par défaut

[cluster default]
nom_clé = 
master_instance_type = c5.xlarge
compute_instance_type = c5n.18xlarge
enable_efa = calculer
placement_group = DYNAMIQUE
placement = calculer
disable_hyperthreading = true
post_install = s3: ///post-install.sh
s3_read_resource = arn: aws: s3 :::/ *
initial_queue_size = 0
max_queue_size = 20
keep_initial_size = false
planificateur = slurm
cluster_type = ondemand
master_root_volume_size = 340
compute_root_volume_size = 340
base_os = centos7
vpc_settings = std-vpc

[vpc std-vpc]
vpc_id = 
master_subnet_id = 
compute_subnet_id = 

Le script de post-installation unique contient toutes les étapes d'installation et de déploiement associées au serveur OpenLDAP:

#! / bin / bash
exec>> (tee /var/log/post-install.log|logger -t données-utilisateur -s 2> / dev / console) 2> & 1

### Fonctions utilitaires

install_server_packages () 
    yum -y installer openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel


prepare_ldap_server ()  awk 'print $ 1'> /root/.ldappasswd
    chmod 400 /root/.ldappasswd
    # Utilisez le mot de passe pour générer un hachage de mot de passe LDAP
    LDAP_HASH = $ (slappasswd -T /root/.ldappasswd)
    # Spécification de la configuration LDAP initiale
    chat <<-EOF > /root/ldapdb.ldif
dn: olcDatabase = 2 hdb, cn = config
type de changement: modifier
remplacer: olcSuffix
olcSuffix: dc = $ stack_name, dc = internal

dn: olcDatabase = 2 hdb, cn = config
type de changement: modifier
remplacer: olcRootDN
olcRootDN: cn = ldapadmin, dc = $ stack_name, dc = internal

dn: olcDatabase = 2 hdb, cn = config
type de changement: modifier
remplacer: olcRootPW
olcRootPW: $ LDAP_HASH
EOF
    # Appliquer les paramètres LDAP
    ldapmodify -Y EXTERNAL -H ldapi: /// -f /root/ldapdb.ldif
    # Appliquer les paramètres de base de données LDAP
    cp /usr/share/openldap-servers/DB_CONFIG.example / var / lib / ldap / DB_CONFIG
    chown ldap: ldap / var / lib / ldap / *
    # Appliquer un ensemble minimal de schémas LDAP
    ldapadd -Y EXTERNAL -H ldapi: /// -f /etc/openldap/schema/cosine.ldif
    ldapadd -Y EXTERNAL -H ldapi: /// -f /etc/openldap/schema/nis.ldif
    # Spécifiez une structure de répertoire minimale
    chat <<-EOF > /root/struct.ldif
dn: dc = $ stack_name, dc = internal
dc: $ stack_name
objectClass: haut
objectClass: domaine

dn: cn = ldapadmin, dc = $ stack_name, dc = internal
objectClass: OrganizationRole
cn: ldapadmin
description: Admin LDAP

dn: ou = Users, dc = $ stack_name, dc = internal
objectClass: organizationUnit
ou: Utilisateurs
EOF
    # Appliquer la structure des répertoires
    ldapadd -x -W -D "cn = ldapadmin, dc = $ stack_name, dc = internal" -f /root/struct.ldif -y /root/.ldappasswd
    # Enregistrez le nom d'hôte du contrôleur dans un emplacement partagé pour une utilisation ultérieure
    echo "ldap_server = $ (nom d'hôte)"> /home/.ldap


install_client_packages () 
    miam -y installer openldap-clients nss-pam-ldapd


prepare_ldap_client () 
    source / etc / parallelcluster / cfnconfig
    source /home/.ldap
    authconfig --enableldap
               --enableldapauth
               --ldapserver = $ ldap_server
               --ldapbasedn = "dc = $ stack_name, dc = internal"
               --enablemkhomedir
               --mettre à jour
    systemctl redémarrage nslcd


### Corps principal

# Charger les variables d'environnement depuis ParallelCluster
source / etc / parallelcluster / cfnconfig
# Si le script est en cours d'exécution sur le contrôleur, configurez le serveur LDAP
si [ $cfn_node_type  == 'MasterServer' ]; puis
    install_server_packages
    prepare_ldap_server

Fi

# Pour les nœuds de contrôleur et de calcul, activez l'authentification LDAP
install_client_packages
prepare_ldap_client

Lorsque le script est exécuté sur l'instance de contrôleur, le install_server_packages et prepare_ldap_server les fonctions s'exécutent en premier, suivies de install_client_packages et prepare_ldap_client les fonctions. Toutes ces étapes se produisent pendant le processus de création de cluster initial. Lors des lancements d'instance suivants (c'est-à-dire lorsque le cluster évolue pour répondre aux demandes des travaux soumis), le processus de post-installation sur les nœuds de calcul exécutera uniquement le install_client_packages et prepare_ldap_client pas.

C'est tout! Une fois le lancement du cluster terminé, il sera prêt à accueillir de nouveaux utilisateurs.

Processus de post-installation

Avant d'ajouter des utilisateurs, parcourons le processus de post-installation étape par étape. passez à la section suivante si vous souhaitez simplement continuer à utiliser votre cluster.

Dans le prepare_ldap_server fonction, nous commençons par démarrer la giflé démon – c'est le service OpenLDAP – qui maintiendra une base de données d'utilisateurs et permettra aux clients de s'authentifier.

Ensuite, nous générons une chaîne aléatoire à utiliser comme mot de passe de configuration LDAP et la plaçons dans le répertoire de base racine pour réutiliser plus tard. Nous générons également un hachage approprié à partir du mot de passe à insérer dans LDAP. La configuration LDAP initiale définit le olcSuffix, olcRootDN, et olcRootPW paramètres aux valeurs que nous choisissons. Dans ce cas, les affectations de variables importantes sont cn = ldapadmin, dc = $ stack_name, dc = internal et $ LDAP_HASH.

Nous sommes libres de modifier le nom commun du compte administrateur LDAP à partir de ldapadmin à tout ce que nous choisissons, et ajustez également les composants du domaine de $ stack_name et interne selon nos propres préférences. Le point clé est de s'assurer que nos valeurs choisies sont cohérentes tout au long du script. le ldapmodify La commande applique ces paramètres au service LDAP en cours d'exécution.

Ensuite, nous importons une configuration de base de données par défaut à partir des fichiers fournis avec le package de serveur LDAP, et nous assurons le LDAP l'utilisateur du service possède tous les fichiers pertinents. La dernière étape de configuration du serveur consiste à définir et à appliquer une structure de répertoire utilisateur simple. Cela définit les fichiers liés les uns aux autres et leur permet d'être regroupés en unités organisationnelles. Pour cet exemple minimal, nous n'avons besoin que des définitions de schéma COSINE et NIS, qui sont fournies dans le cadre de l'installation LDAP. Ceux-ci décrivent la configuration minimale requise pour ajouter un utilisateur à LDAP. Notre structure de répertoires (spécifiée dans le struct.ldif fichier créé en ligne) contient une seule unité organisationnelle pour nos utilisateurs AWS ParallelCluster.

Avant de passer à la configuration du client, nous enregistrons le nom d'hôte du serveur LDAP dans un emplacement partagé qui sera accessible aux clients sur les instances de calcul. Dans ce cas, nous pouvons placer un fichier dans le /Accueil répertoire, car il sera partagé avec le reste du cluster via NFS.

le prepare_ldap_client La fonction établit la connexion entre les clients, exécutés sur l'instance de contrôleur ainsi que sur toutes les futures instances de calcul, et le serveur LDAP – dans ce cas, à l'aide de variables définies à la fois dans un emplacement AWS ParallelCluster standard (/ etc / parallelcluster / cfnconfig) et le /home/.ldap fichier que nous avons créé lors de la préparation du serveur.

Ajout d'utilisateurs de cluster

Une fois que l'instance de contrôleur de cluster démarre et que la configuration LDAP est terminée, nous devons ajouter des utilisateurs au service d'annuaire. Connectez-vous au cluster en tant qu'utilisateur par défaut (centos dans ce cas) avec la commande:

pcluster ssh 

Sinon, utilisez état du cluster pour obtenir l'adresse IP publique et connectez-vous à cette instance via SSH à l'aide de la commande:

ssh -i  centos @

Si vous avez utilisé une paire de clés publique / privée générée localement et stockée à l'emplacement par défaut (~ / .ssh), vous pouvez omettre -je section de la commande.

Une fois connecté, créez un script bash avec le contenu suivant (nous appellerons ce script add-user.sh):

#! / bin / bash

# N'agissez que si deux arguments sont fournis et que l'UID est suffisamment élevé
si [ $# -eq 2 ] && [ "$2" -eq "$2" ] 2> / dev / null && [ "$2" -gt 1000 ]; puis
  NOM D'UTILISATEUR = 1 $
  USERID = 2 $
autre
  echo "Utilisation:` basename $ 0`  "
  écho " doit être une chaîne "
  écho " doit être un entier supérieur à 1 000 "
  sortie 1
Fi

# Charger les variables d'environnement qui identifient le type d'instance
source / etc / parallelcluster / cfnconfig

# Ecrire une configuration d'objet LDAP minimale pour un utilisateur
chat <<-EOF > /tmp/$USERNAME.ldif
dn: uid = $ USERNAME, ou = Users, dc = $ stack_name, dc = internal
objectClass: haut
objectClass: compte
objectClass: posixAccount
objectClass: shadowAccount
cn: $ USERNAME
uid: $ USERNAME
uidNumber: $ USERID
gidNumber: 100
homeDirectory: / home / $ USERNAME
loginShell: / bin / bash
EOF

# Ajouter l'utilisateur à LDAP
ldapadd -x -D "cn = ldapadmin, dc = $ stack_name, dc = internal" -f /tmp/$USERNAME.ldif -y /root/.ldappasswd

# Ranger et vérifier que l'entrée a réussi
rm /tmp/$USERNAME.ldif
getent passwd $ 1

Rendre le script exécutable (chmod + x add-user.sh). L'ajout d'un utilisateur à LDAP ne nécessite pas de privilèges root en général, mais dans ce cas, notre seul enregistrement du ldapadmin le mot de passe est dans le fichier /root/.ldappasswd. Nous devrons utiliser sudo lors de l'exécution du script. Transmettez votre nom d'utilisateur et votre UID comme arguments, par exemple:

sudo ./add-user.sh alice 3000

Tous les utilisateurs créés de cette manière appartiendront au utilisateurs groupe (GID 100). Si nécessaire, vous pouvez modifier ce paramètre pour affecter les utilisateurs à différents groupes. Notez que la création de groupe n'est pas automatique; tous les groupes personnalisés doivent être créés avant d'ajouter les utilisateurs.

Au lieu d'utiliser le processus scripté décrit précédemment, vous pouvez récupérer le mot de passe LDAP du fichier et le stocker en dehors du cluster en utilisant vos mécanismes de protection par mot de passe habituels. Ensuite, vous exécuterez ldapadd sur une invite de commande en tant qu'utilisateur régulier (non root). Dans ce cas, vous devrez vous assurer qu'une configuration d'objet LDAP valide est disponible, ainsi qu'un fichier contenant le mot de passe, puis exécuter:

source / etc / parallelcluster / cfnconfig
ldapadd -x -D "cn = ldapadmin, dc = $ stack_name, dc = internal" -f  -y 

Une fois qu'un utilisateur est ajouté, son compte sera présent dans le système (confirmé par getent passwd ou sudo getent shadow), mais leur répertoire personnel n'existera pas encore; le répertoire personnel est généralement créé lors de la première connexion. À ce stade, vos utilisateurs ne pourront toujours pas se connecter au cluster via SSH, car il n'y a aucune entrée dans leur ~ / .ssh / clés_autorisées fichier. La connexion à l'aide d'un mot de passe n'est pas non plus possible, à la fois parce que nous n'avons pas configuré de mot de passe pour l'utilisateur et parce que l'authentification par mot de passe est désactivée par défaut dans la configuration du démon AWS ParallelCluster SSH.

Notez que nous pouvons incorporer des clés SSH dans la configuration LDAP en utilisant un schéma plus complexe. Ce serait le choix le plus approprié si vous implémentez un serveur LDAP distinct fournissant des informations d'identification pour plusieurs clusters ou pour d'autres instances qui n'ont pas de répertoires personnels partagés. Pour éviter une complexité supplémentaire dans cet exemple simple, nous allons plutôt copier une clé publique SSH, fournie par l'utilisateur potentiel, à l'emplacement approprié.

En supposant que nous soyons toujours connectés en tant que centos et ont enregistré la clé publique pour le nouveau Alice utilisateur à ~ / alice.pub, enregistrez le script suivant sous add-key.sh et exécutez via sudo ./add-key.sh alice alice.pub:

#! / bin / bash

# N'agissez que si deux arguments sont fournis et le second est un fichier local
si [ $# -eq 2 ] && [ -f "$2" ] ; puis
  NOM D'UTILISATEUR = 1 $
  KEYFILE = 2 $
autre
  echo "Utilisation:` basename $ 0`  "
  écho " doit être un compte utilisateur "
  écho " doit être un fichier de clé publique SSH "
  sortie 1
Fi

# Créez le répertoire home et .ssh de l'utilisateur, configurez le fichier authorized_keys
# Notez que cela écrasera toutes les clés existantes si elles sont utilisées plusieurs fois
mkhomedir_helper $ USERNAME
mkdir -p /home/$USERNAME/.ssh
cat $ KEYFILE> /home/$USERNAME/.ssh/authorized_keys
chmod 600 /home/$USERNAME/.ssh/authorized_keys
chown -R $ USERNAME: utilisateurs / domicile / $ USERNAME

Le propriétaire de la clé privée correspondante alice.pub peut maintenant SSH dans le cluster en utilisant le nom d'utilisateur Alice. Grâce à l'utilisation répétée de add-user.sh et add-key.sh, l'administrateur du cluster peut ajouter autant de comptes supplémentaires que nécessaire en ajustant simplement les arguments de chaque script et en s'assurant que chaque ensemble de nom d'utilisateur, d'ID utilisateur et de fichier de clé publique est unique.

Les utilisateurs créés de cette manière ne pourront pas utiliser sudo pour assumer les privilèges root; vous devez réserver les actions administratives par défaut centos utilisateur. Pour une utilisation régulière des clusters HPC (soumission de travaux au planificateur, connexion aux nœuds de calcul via SSH à partir du contrôleur, utilisation du contenu des systèmes de fichiers locaux et réseau), ces comptes ont un comportement essentiellement identique à celui des comptes créés à l'aide du adduser commander.

Conclusion

Dans cet article, nous avons décrit un mécanisme simple pour provisionner plusieurs utilisateurs dans AWS ParallelCluster à l'aide d'un serveur OpenLDAP installé localement sur le contrôleur. Avec une complexité minimale, nous avons configuré la structure de répertoires pour fournir un accès SSH aux utilisateurs HPC.

Image de vedette via Pixabay.

  • ZKSOFTWARE Lecteur biométrique RFID avec clavier à code ZK
    Electricité Domotique, automatismes et sécurité Alarme : kit et accessoires Accessoire contrôle d'accès ZKSOFTWARE, Le lecteur MA-500 est contrôle d'accès biométrique, RFID et clavier à code robuste facile à installer. Il permet la gestion des plages horaires et des groupes utilisateurs. Le
  • Bontempi- Clavier 61 Touches avec Pied
    Clavier 61 touches avec pied et prise USB. Polyphonie 10 notes. 200 sons, 200 rythmes, 60 démos. Réglage du volume et tempo. 8 Pads percussions. Transposer, vibrato, soutenir, écho. Gestion facilitée des accords. 3 niveaux d’apprentissage. Vous pouvez enregistrer et
  • Plantronics Cable Plantronics DA90 - QD - USB
    Plantronics DA90 Le câble Plantronics DA90 est idéal pour les  utilisateurs intensifs du téléphone, y compris dans les centres de service d'assistance client et technique.  Avec une grande qualité sonore grâce à ses fonctions anti-bruit et gestion d'écho , le câble DA90 offre un grand confort de communication
  • ZKSOFTWARE Lecteur de badge RFID réseau ZK
    Electricité Domotique, automatismes et sécurité Alarme : kit et accessoires Accessoire contrôle d'accès ZKSOFTWARE, Le lecteur SCR100 est contrôle d'accès RFID avec un design élégant, facile à installer et fiable. Il permet la gestion des plages horaires et des groupes utilisateurs. Le
  • LEUCHTEN DIREKT Plafonnier LED design REMOTE CONTROL lampe de lumière du jour de salon DIMMABLE
    Luminaire Eclairage d'intérieur Plafonnier d'intérieur Plafonnier LEUCHTEN DIREKT, la description Le plafonnier LED de couleur acier impressionne par son design moderne et plat. Il est livré avec quatre lampes LED installées en permanence et une télécommande infrarouge. Grâce à la gestion
  • Waves SuperRack
    Waves SuperRack, Logiciel hôte pour plugins - Version téléchargement, Permet l'utilisation de plug-ins Waves en configuration live avec les serveurs DSP Soundgrid, Vue d'ensemble et utilisation simultanées de plusieurs plugins, Interface utilisateur graphique avec prise en charge d'écran tactile Multitouch,

Laisser un commentaire