[bzkshopping keyword= »Minecraft » count= »8″ template= »grid »]
"},{"id":"text-2","type":"text","heading":"","plain_text":"Une demande courante des utilisateurs d'AWS ParallelCluster est d'avoir la possibilité de déployer plusieurs comptes utilisateur POSIX. Le wiki sur la page GitHub du projet décrit un mécanisme simple pour y parvenir, et un article de blog précédent, «AWS ParallelCluster avec AWS Directory Services Authentication», explique comment intégrer AWS ParallelCluster à AWS Directory Service. Cependant, certains clients peuvent préférer un service d'annuaire traditionnel hébergé localement sur le cluster pour permettre une administration plus pratique. Cela élimine la nécessité d'arrêter et de redémarrer le nœud principal ou de connaître les détails de la gestion d'Active Directory.\nUn environnement AWS ParallelCluster multi-utilisateurs est idéal pour les cas dans lesquels une équipe de scientifiques ou d'ingénieurs collabore étroitement et a besoin de partager des ressources, telles que des données ou un budget de compte. L'utilisation d'un seul ensemble de systèmes de fichiers facilite la gestion des clusters pour l'administrateur, en particulier s'ils sont nouveaux sur AWS. Lorsque le temps de mise en solution et les dépenses totales doivent être soigneusement équilibrés, il est également utile de faire exécuter les tâches de plusieurs utilisateurs dans un seul planificateur.\nDans cet article, nous décrivons comment activer le service d'annuaire OpenLDAP sur le nœud principal du cluster. Cette activation peut créer et synchroniser une collection locale d'utilisateurs.\nLe processus documenté ici s'applique aux clusters déployés à l'aide du système d'exploitation CentOS 7, pour AWS ParallelCluster version 2.8.1. D'autres systèmes d'exploitation peuvent suivre un processus similaire, mais nécessiteront des modifications mineures des commandes utilisées pour installer les packages pertinents (par exemple, en utilisant apt-get au lieu de Miam).\nAprès avoir installé et configuré l'outil de ligne de commande AWS ParallelCluster, définissez les paramètres de configuration post_installer et s3_read_resource (ou s3_read_write_resource) pour permettre à un script d'être exécuté sur la tête du cluster et de calculer les nœuds au moment du démarrage. Voici un exemple de fichier de configuration minimale pour déployer un cluster basé sur Slurm à l'aide d'instances C5n.18xlarge, parfaitement adaptées à la mise à l'échelle des charges de travail HPC:","html":"Une demande courante des utilisateurs d'AWS ParallelCluster est d'avoir la possibilité de déployer plusieurs comptes utilisateur POSIX. Le wiki sur la page GitHub du projet décrit un mécanisme simple pour y parvenir, et un article de blog précédent, «AWS ParallelCluster avec AWS Directory Services Authentication», explique comment intégrer AWS ParallelCluster à AWS Directory Service. Cependant, certains clients peuvent préférer un service d'annuaire traditionnel hébergé localement sur le cluster pour permettre une administration plus pratique. Cela élimine la nécessité d'arrêter et de redémarrer le nœud principal ou de connaître les détails de la gestion d'Active Directory.\nUn environnement AWS ParallelCluster multi-utilisateurs est idéal pour les cas dans lesquels une équipe de scientifiques ou d'ingénieurs collabore étroitement et a besoin de partager des ressources, telles que des données ou un budget de compte. L'utilisation d'un seul ensemble de systèmes de fichiers facilite la gestion des clusters pour l'administrateur, en particulier s'ils sont nouveaux sur AWS. Lorsque le temps de mise en solution et les dépenses totales doivent être soigneusement équilibrés, il est également utile de faire exécuter les tâches de plusieurs utilisateurs dans un seul planificateur.\nDans cet article, nous décrivons comment activer le service d'annuaire OpenLDAP sur le nœud principal du cluster. Cette activation peut créer et synchroniser une collection locale d'utilisateurs.\nLe processus documenté ici s'applique aux clusters déployés à l'aide du système d'exploitation CentOS 7, pour AWS ParallelCluster version 2.8.1. D'autres systèmes d'exploitation peuvent suivre un processus similaire, mais nécessiteront des modifications mineures des commandes utilisées pour installer les packages pertinents (par exemple, en utilisant apt-get au lieu de Miam).\nAprès avoir installé et configuré l'outil de ligne de commande AWS ParallelCluster, définissez les paramètres de configuration post_installer et s3_read_resource (ou s3_read_write_resource) pour permettre à un script d'être exécuté sur la tête du cluster et de calculer les nœuds au moment du démarrage. Voici un exemple de fichier de configuration minimale pour déployer un cluster basé sur Slurm à l'aide d'instances C5n.18xlarge, parfaitement adaptées à la mise à l'échelle des charges de travail HPC:
"},{"id":"text-3","type":"text","heading":"","plain_text":"[aws]","html":"[aws]
"},{"id":"text-4","type":"text","heading":"","plain_text":"aws_region_name = eu-west-1\n[global]\nupdate_check = vrai\nsanity_check = vrai\ncluster_template = par défaut","html":"aws_region_name = eu-west-1\n[global]\nupdate_check = vrai\nsanity_check = vrai\ncluster_template = par défaut
"},{"id":"text-5","type":"text","heading":"","plain_text":"[cluster default]\nnom_clé = \nmaster_instance_type = c5.xlarge\ncompute_instance_type = c5n.18xlarge\nenable_efa = calculer\nplacement_group = DYNAMIQUE\nplacement = calculer\ndisable_hyperthreading = true\npost_install = s3: ///post-install.sh\ns3_read_resource = arn: aws: s3 :::/ *\ninitial_queue_size = 0\nmax_queue_size = 20\nkeep_initial_size = false\nplanificateur = slurm\ncluster_type = ondemand\nmaster_root_volume_size = 340\ncompute_root_volume_size = 340\nbase_os = centos7\nvpc_settings = std-vpc","html":"[cluster default]\nnom_clé = \nmaster_instance_type = c5.xlarge\ncompute_instance_type = c5n.18xlarge\nenable_efa = calculer\nplacement_group = DYNAMIQUE\nplacement = calculer\ndisable_hyperthreading = true\npost_install = s3: ///post-install.sh\ns3_read_resource = arn: aws: s3 :::/ *\ninitial_queue_size = 0\nmax_queue_size = 20\nkeep_initial_size = false\nplanificateur = slurm\ncluster_type = ondemand\nmaster_root_volume_size = 340\ncompute_root_volume_size = 340\nbase_os = centos7\nvpc_settings = std-vpc
"},{"id":"text-6","type":"text","heading":"","plain_text":"[vpc std-vpc]\nvpc_id = \nmaster_subnet_id = \ncompute_subnet_id =","html":"[vpc std-vpc]\nvpc_id = \nmaster_subnet_id = \ncompute_subnet_id =
"},{"id":"text-7","type":"text","heading":"","plain_text":"Le script de post-installation unique contient toutes les étapes d'installation et de déploiement associées au serveur OpenLDAP:","html":"Le script de post-installation unique contient toutes les étapes d'installation et de déploiement associées au serveur OpenLDAP:
"},{"id":"text-8","type":"text","heading":"","plain_text":"#! / bin / bash\nexec>> (tee /var/log/post-install.log|logger -t données-utilisateur -s 2> / dev / console) 2> & 1","html":"#! / bin / bash\nexec>> (tee /var/log/post-install.log|logger -t données-utilisateur -s 2> / dev / console) 2> & 1
"},{"id":"text-9","type":"text","heading":"","plain_text":"### Fonctions utilitaires","html":"### Fonctions utilitaires
"},{"id":"text-10","type":"text","heading":"","plain_text":"install_server_packages () \n yum -y installer openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel","html":"install_server_packages () \n yum -y installer openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel
"},{"id":"text-11","type":"text","heading":"","plain_text":"prepare_ldap_server () awk 'print $ 1'> /root/.ldappasswd\n chmod 400 /root/.ldappasswd\n # Utilisez le mot de passe pour générer un hachage de mot de passe LDAP\n LDAP_HASH = $ (slappasswd -T /root/.ldappasswd)\n # Spécification de la configuration LDAP initiale\n chat < /root/ldapdb.ldif\ndn: olcDatabase = 2 hdb, cn = config\ntype de changement: modifier\nremplacer: olcSuffix\nolcSuffix: dc = $ stack_name, dc = internal","html":"prepare_ldap_server () awk 'print $ 1'> /root/.ldappasswd\n chmod 400 /root/.ldappasswd\n # Utilisez le mot de passe pour générer un hachage de mot de passe LDAP\n LDAP_HASH = $ (slappasswd -T /root/.ldappasswd)\n # Spécification de la configuration LDAP initiale\n chat < /root/ldapdb.ldif\ndn: olcDatabase = 2 hdb, cn = config\ntype de changement: modifier\nremplacer: olcSuffix\nolcSuffix: dc = $ stack_name, dc = internal
"},{"id":"text-12","type":"text","heading":"","plain_text":"dn: olcDatabase = 2 hdb, cn = config\ntype de changement: modifier\nremplacer: olcRootDN\nolcRootDN: cn = ldapadmin, dc = $ stack_name, dc = internal","html":"dn: olcDatabase = 2 hdb, cn = config\ntype de changement: modifier\nremplacer: olcRootDN\nolcRootDN: cn = ldapadmin, dc = $ stack_name, dc = internal
"},{"id":"text-13","type":"text","heading":"","plain_text":"dn: olcDatabase = 2 hdb, cn = config\ntype de changement: modifier\nremplacer: olcRootPW\nolcRootPW: $ LDAP_HASH\nEOF\n # Appliquer les paramètres LDAP\n ldapmodify -Y EXTERNAL -H ldapi: /// -f /root/ldapdb.ldif\n # Appliquer les paramètres de base de données LDAP\n cp /usr/share/openldap-servers/DB_CONFIG.example / var / lib / ldap / DB_CONFIG\n chown ldap: ldap / var / lib / ldap / *\n # Appliquer un ensemble minimal de schémas LDAP\n ldapadd -Y EXTERNAL -H ldapi: /// -f /etc/openldap/schema/cosine.ldif\n ldapadd -Y EXTERNAL -H ldapi: /// -f /etc/openldap/schema/nis.ldif\n # Spécifiez une structure de répertoire minimale\n chat < /root/struct.ldif\ndn: dc = $ stack_name, dc = internal\ndc: $ stack_name\nobjectClass: haut\nobjectClass: domaine","html":"dn: olcDatabase = 2 hdb, cn = config\ntype de changement: modifier\nremplacer: olcRootPW\nolcRootPW: $ LDAP_HASH\nEOF\n # Appliquer les paramètres LDAP\n ldapmodify -Y EXTERNAL -H ldapi: /// -f /root/ldapdb.ldif\n # Appliquer les paramètres de base de données LDAP\n cp /usr/share/openldap-servers/DB_CONFIG.example / var / lib / ldap / DB_CONFIG\n chown ldap: ldap / var / lib / ldap / *\n # Appliquer un ensemble minimal de schémas LDAP\n ldapadd -Y EXTERNAL -H ldapi: /// -f /etc/openldap/schema/cosine.ldif\n ldapadd -Y EXTERNAL -H ldapi: /// -f /etc/openldap/schema/nis.ldif\n # Spécifiez une structure de répertoire minimale\n chat < /root/struct.ldif\ndn: dc = $ stack_name, dc = internal\ndc: $ stack_name\nobjectClass: haut\nobjectClass: domaine
"},{"id":"text-14","type":"text","heading":"","plain_text":"dn: cn = ldapadmin, dc = $ stack_name, dc = internal\nobjectClass: OrganizationRole\ncn: ldapadmin\ndescription: Admin LDAP","html":"dn: cn = ldapadmin, dc = $ stack_name, dc = internal\nobjectClass: OrganizationRole\ncn: ldapadmin\ndescription: Admin LDAP
"},{"id":"text-15","type":"text","heading":"","plain_text":"dn: ou = Users, dc = $ stack_name, dc = internal\nobjectClass: organizationUnit\nou: Utilisateurs\nEOF\n # Appliquer la structure des répertoires\n ldapadd -x -W -D "cn = ldapadmin, dc = $ stack_name, dc = internal" -f /root/struct.ldif -y /root/.ldappasswd\n # Enregistrez le nom d'hôte du contrôleur dans un emplacement partagé pour une utilisation ultérieure\n echo "ldap_server = $ (nom d'hôte)"> /home/.ldap","html":"dn: ou = Users, dc = $ stack_name, dc = internal\nobjectClass: organizationUnit\nou: Utilisateurs\nEOF\n # Appliquer la structure des répertoires\n ldapadd -x -W -D "cn = ldapadmin, dc = $ stack_name, dc = internal" -f /root/struct.ldif -y /root/.ldappasswd\n # Enregistrez le nom d'hôte du contrôleur dans un emplacement partagé pour une utilisation ultérieure\n echo "ldap_server = $ (nom d'hôte)"> /home/.ldap
"},{"id":"text-16","type":"text","heading":"","plain_text":"install_client_packages () \n miam -y installer openldap-clients nss-pam-ldapd","html":"install_client_packages () \n miam -y installer openldap-clients nss-pam-ldapd
"},{"id":"text-17","type":"text","heading":"","plain_text":"prepare_ldap_client () \n source / etc / parallelcluster / cfnconfig\n source /home/.ldap\n authconfig --enableldap\n --enableldapauth\n --ldapserver = $ ldap_server\n --ldapbasedn = "dc = $ stack_name, dc = internal"\n --enablemkhomedir\n --mettre à jour\n systemctl redémarrage nslcd","html":"prepare_ldap_client () \n source / etc / parallelcluster / cfnconfig\n source /home/.ldap\n authconfig --enableldap\n --enableldapauth\n --ldapserver = $ ldap_server\n --ldapbasedn = "dc = $ stack_name, dc = internal"\n --enablemkhomedir\n --mettre à jour\n systemctl redémarrage nslcd
"},{"id":"text-18","type":"text","heading":"","plain_text":"### Corps principal","html":"### Corps principal
"},{"id":"text-19","type":"text","heading":"","plain_text":"# Charger les variables d'environnement depuis ParallelCluster\nsource / etc / parallelcluster / cfnconfig\n# Si le script est en cours d'exécution sur le contrôleur, configurez le serveur LDAP\nsi [ $cfn_node_type == 'MasterServer' ]; puis\n install_server_packages\n prepare_ldap_server","html":"# Charger les variables d'environnement depuis ParallelCluster\nsource / etc / parallelcluster / cfnconfig\n# Si le script est en cours d'exécution sur le contrôleur, configurez le serveur LDAP\nsi [ $cfn_node_type == 'MasterServer' ]; puis\n install_server_packages\n prepare_ldap_server
"},{"id":"text-20","type":"text","heading":"","plain_text":"Fi","html":"Fi
"},{"id":"text-21","type":"text","heading":"","plain_text":"# Pour les nœuds de contrôleur et de calcul, activez l'authentification LDAP\ninstall_client_packages\nprepare_ldap_client","html":"# Pour les nœuds de contrôleur et de calcul, activez l'authentification LDAP\ninstall_client_packages\nprepare_ldap_client
"},{"id":"text-22","type":"text","heading":"","plain_text":"Lorsque le script est exécuté sur l'instance de contrôleur, le install_server_packages et prepare_ldap_server les fonctions s'exécutent en premier, suivies de install_client_packages et prepare_ldap_client les fonctions. Toutes ces étapes se produisent pendant le processus de création de cluster initial. Lors des lancements d'instance suivants (c'est-à-dire lorsque le cluster évolue pour répondre aux demandes des travaux soumis), le processus de post-installation sur les nœuds de calcul exécutera uniquement le install_client_packages et prepare_ldap_client pas.\nC'est tout! Une fois le lancement du cluster terminé, il sera prêt à accueillir de nouveaux utilisateurs.\nProcessus de post-installation\nAvant d'ajouter des utilisateurs, parcourons le processus de post-installation étape par étape. passez à la section suivante si vous souhaitez simplement continuer à utiliser votre cluster.\nDans le prepare_ldap_server fonction, nous commençons par démarrer la giflé démon – c'est le service OpenLDAP – qui maintiendra une base de données d'utilisateurs et permettra aux clients de s'authentifier.\nEnsuite, nous générons une chaîne aléatoire à utiliser comme mot de passe de configuration LDAP et la plaçons dans le répertoire de base racine pour réutiliser plus tard. Nous générons également un hachage approprié à partir du mot de passe à insérer dans LDAP. La configuration LDAP initiale définit le olcSuffix, olcRootDN, et olcRootPW paramètres aux valeurs que nous choisissons. Dans ce cas, les affectations de variables importantes sont cn = ldapadmin, dc = $ stack_name, dc = internal et $ LDAP_HASH.\nNous sommes libres de modifier le nom commun du compte administrateur LDAP à partir de ldapadmin à tout ce que nous choisissons, et ajustez également les composants du domaine de $ stack_name et interne selon nos propres préférences. Le point clé est de s'assurer que nos valeurs choisies sont cohérentes tout au long du script. le ldapmodify La commande applique ces paramètres au service LDAP en cours d'exécution.\nEnsuite, nous importons une configuration de base de données par défaut à partir des fichiers fournis avec le package de serveur LDAP, et nous assurons le LDAP l'utilisateur du service possède tous les fichiers pertinents. La dernière étape de configuration du serveur consiste à définir et à appliquer une structure de répertoire utilisateur simple. Cela définit les fichiers liés les uns aux autres et leur permet d'être regroupés en unités organisationnelles. Pour cet exemple minimal, nous n'avons besoin que des définitions de schéma COSINE et NIS, qui sont fournies dans le cadre de l'installation LDAP. Ceux-ci décrivent la configuration minimale requise pour ajouter un utilisateur à LDAP. Notre structure de répertoires (spécifiée dans le struct.ldif fichier créé en ligne) contient une seule unité organisationnelle pour nos utilisateurs AWS ParallelCluster.\nAvant de passer à la configuration du client, nous enregistrons le nom d'hôte du serveur LDAP dans un emplacement partagé qui sera accessible aux clients sur les instances de calcul. Dans ce cas, nous pouvons placer un fichier dans le /Accueil répertoire, car il sera partagé avec le reste du cluster via NFS.\nle prepare_ldap_client La fonction établit la connexion entre les clients, exécutés sur l'instance de contrôleur ainsi que sur toutes les futures instances de calcul, et le serveur LDAP – dans ce cas, à l'aide de variables définies à la fois dans un emplacement AWS ParallelCluster standard (/ etc / parallelcluster / cfnconfig) et le /home/.ldap fichier que nous avons créé lors de la préparation du serveur.\nAjout d'utilisateurs de cluster\nUne fois que l'instance de contrôleur de cluster démarre et que la configuration LDAP est terminée, nous devons ajouter des utilisateurs au service d'annuaire. Connectez-vous au cluster en tant qu'utilisateur par défaut (centos dans ce cas) avec la commande:","html":"Lorsque le script est exécuté sur l'instance de contrôleur, le install_server_packages et prepare_ldap_server les fonctions s'exécutent en premier, suivies de install_client_packages et prepare_ldap_client les fonctions. Toutes ces étapes se produisent pendant le processus de création de cluster initial. Lors des lancements d'instance suivants (c'est-à-dire lorsque le cluster évolue pour répondre aux demandes des travaux soumis), le processus de post-installation sur les nœuds de calcul exécutera uniquement le install_client_packages et prepare_ldap_client pas.\nC'est tout! Une fois le lancement du cluster terminé, il sera prêt à accueillir de nouveaux utilisateurs.\nProcessus de post-installation\nAvant d'ajouter des utilisateurs, parcourons le processus de post-installation étape par étape. passez à la section suivante si vous souhaitez simplement continuer à utiliser votre cluster.\nDans le prepare_ldap_server fonction, nous commençons par démarrer la giflé démon – c'est le service OpenLDAP – qui maintiendra une base de données d'utilisateurs et permettra aux clients de s'authentifier.\nEnsuite, nous générons une chaîne aléatoire à utiliser comme mot de passe de configuration LDAP et la plaçons dans le répertoire de base racine pour réutiliser plus tard. Nous générons également un hachage approprié à partir du mot de passe à insérer dans LDAP. La configuration LDAP initiale définit le olcSuffix, olcRootDN, et olcRootPW paramètres aux valeurs que nous choisissons. Dans ce cas, les affectations de variables importantes sont cn = ldapadmin, dc = $ stack_name, dc = internal et $ LDAP_HASH.\nNous sommes libres de modifier le nom commun du compte administrateur LDAP à partir de ldapadmin à tout ce que nous choisissons, et ajustez également les composants du domaine de $ stack_name et interne selon nos propres préférences. Le point clé est de s'assurer que nos valeurs choisies sont cohérentes tout au long du script. le ldapmodify La commande applique ces paramètres au service LDAP en cours d'exécution.\nEnsuite, nous importons une configuration de base de données par défaut à partir des fichiers fournis avec le package de serveur LDAP, et nous assurons le LDAP l'utilisateur du service possède tous les fichiers pertinents. La dernière étape de configuration du serveur consiste à définir et à appliquer une structure de répertoire utilisateur simple. Cela définit les fichiers liés les uns aux autres et leur permet d'être regroupés en unités organisationnelles. Pour cet exemple minimal, nous n'avons besoin que des définitions de schéma COSINE et NIS, qui sont fournies dans le cadre de l'installation LDAP. Ceux-ci décrivent la configuration minimale requise pour ajouter un utilisateur à LDAP. Notre structure de répertoires (spécifiée dans le struct.ldif fichier créé en ligne) contient une seule unité organisationnelle pour nos utilisateurs AWS ParallelCluster.\nAvant de passer à la configuration du client, nous enregistrons le nom d'hôte du serveur LDAP dans un emplacement partagé qui sera accessible aux clients sur les instances de calcul. Dans ce cas, nous pouvons placer un fichier dans le /Accueil répertoire, car il sera partagé avec le reste du cluster via NFS.\nle prepare_ldap_client La fonction établit la connexion entre les clients, exécutés sur l'instance de contrôleur ainsi que sur toutes les futures instances de calcul, et le serveur LDAP – dans ce cas, à l'aide de variables définies à la fois dans un emplacement AWS ParallelCluster standard (/ etc / parallelcluster / cfnconfig) et le /home/.ldap fichier que nous avons créé lors de la préparation du serveur.\nAjout d'utilisateurs de cluster\nUne fois que l'instance de contrôleur de cluster démarre et que la configuration LDAP est terminée, nous devons ajouter des utilisateurs au service d'annuaire. Connectez-vous au cluster en tant qu'utilisateur par défaut (centos dans ce cas) avec la commande:
"},{"id":"text-23","type":"text","heading":"","plain_text":"pcluster ssh \nSinon, utilisez état du cluster pour obtenir l'adresse IP publique et connectez-vous à cette instance via SSH à l'aide de la commande:","html":"pcluster ssh \nSinon, utilisez état du cluster pour obtenir l'adresse IP publique et connectez-vous à cette instance via SSH à l'aide de la commande:
"},{"id":"text-24","type":"text","heading":"","plain_text":"ssh -i centos @\nSi vous avez utilisé une paire de clés publique / privée générée localement et stockée à l'emplacement par défaut (~ / .ssh), vous pouvez omettre -je section de la commande.\nUne fois connecté, créez un script bash avec le contenu suivant (nous appellerons ce script add-user.sh):","html":"ssh -i centos @\nSi vous avez utilisé une paire de clés publique / privée générée localement et stockée à l'emplacement par défaut (~ / .ssh), vous pouvez omettre -je section de la commande.\nUne fois connecté, créez un script bash avec le contenu suivant (nous appellerons ce script add-user.sh):
"},{"id":"text-25","type":"text","heading":"","plain_text":"#! / bin / bash","html":"#! / bin / bash
"},{"id":"text-26","type":"text","heading":"","plain_text":"# N'agissez que si deux arguments sont fournis et que l'UID est suffisamment élevé\nsi [ $# -eq 2 ] && [ \"$2\" -eq \"$2\" ] 2> / dev / null && [ \"$2\" -gt 1000 ]; puis\n NOM D'UTILISATEUR = 1 $\n USERID = 2 $\nautre\n echo "Utilisation:` basename $ 0` "\n écho " doit être une chaîne "\n écho " doit être un entier supérieur à 1 000 "\n sortie 1\nFi","html":"# N'agissez que si deux arguments sont fournis et que l'UID est suffisamment élevé\nsi [ $# -eq 2 ] && [ "$2" -eq "$2" ] 2> / dev / null && [ "$2" -gt 1000 ]; puis\n NOM D'UTILISATEUR = 1 $\n USERID = 2 $\nautre\n echo "Utilisation:` basename $ 0` "\n écho " doit être une chaîne "\n écho " doit être un entier supérieur à 1 000 "\n sortie 1\nFi
"},{"id":"text-27","type":"text","heading":"","plain_text":"# Charger les variables d'environnement qui identifient le type d'instance\nsource / etc / parallelcluster / cfnconfig","html":"# Charger les variables d'environnement qui identifient le type d'instance\nsource / etc / parallelcluster / cfnconfig
"},{"id":"text-28","type":"text","heading":"","plain_text":"# Ecrire une configuration d'objet LDAP minimale pour un utilisateur\nchat < /tmp/$USERNAME.ldif\ndn: uid = $ USERNAME, ou = Users, dc = $ stack_name, dc = internal\nobjectClass: haut\nobjectClass: compte\nobjectClass: posixAccount\nobjectClass: shadowAccount\ncn: $ USERNAME\nuid: $ USERNAME\nuidNumber: $ USERID\ngidNumber: 100\nhomeDirectory: / home / $ USERNAME\nloginShell: / bin / bash\nEOF","html":"# Ecrire une configuration d'objet LDAP minimale pour un utilisateur\nchat < /tmp/$USERNAME.ldif\ndn: uid = $ USERNAME, ou = Users, dc = $ stack_name, dc = internal\nobjectClass: haut\nobjectClass: compte\nobjectClass: posixAccount\nobjectClass: shadowAccount\ncn: $ USERNAME\nuid: $ USERNAME\nuidNumber: $ USERID\ngidNumber: 100\nhomeDirectory: / home / $ USERNAME\nloginShell: / bin / bash\nEOF
"},{"id":"text-29","type":"text","heading":"","plain_text":"# Ajouter l'utilisateur à LDAP\nldapadd -x -D "cn = ldapadmin, dc = $ stack_name, dc = internal" -f /tmp/$USERNAME.ldif -y /root/.ldappasswd","html":"# Ajouter l'utilisateur à LDAP\nldapadd -x -D "cn = ldapadmin, dc = $ stack_name, dc = internal" -f /tmp/$USERNAME.ldif -y /root/.ldappasswd
"},{"id":"text-30","type":"text","heading":"","plain_text":"# Ranger et vérifier que l'entrée a réussi\nrm /tmp/$USERNAME.ldif\ngetent passwd $ 1\nRendre le script exécutable (chmod + x add-user.sh). L'ajout d'un utilisateur à LDAP ne nécessite pas de privilèges root en général, mais dans ce cas, notre seul enregistrement du ldapadmin le mot de passe est dans le fichier /root/.ldappasswd. Nous devrons utiliser sudo lors de l'exécution du script. Transmettez votre nom d'utilisateur et votre UID comme arguments, par exemple:","html":"# Ranger et vérifier que l'entrée a réussi\nrm /tmp/$USERNAME.ldif\ngetent passwd $ 1\nRendre le script exécutable (chmod + x add-user.sh). L'ajout d'un utilisateur à LDAP ne nécessite pas de privilèges root en général, mais dans ce cas, notre seul enregistrement du ldapadmin le mot de passe est dans le fichier /root/.ldappasswd. Nous devrons utiliser sudo lors de l'exécution du script. Transmettez votre nom d'utilisateur et votre UID comme arguments, par exemple:
"},{"id":"text-31","type":"text","heading":"","plain_text":"sudo ./add-user.sh alice 3000\nTous les utilisateurs créés de cette manière appartiendront au utilisateurs groupe (GID 100). Si nécessaire, vous pouvez modifier ce paramètre pour affecter les utilisateurs à différents groupes. Notez que la création de groupe n'est pas automatique; tous les groupes personnalisés doivent être créés avant d'ajouter les utilisateurs.\nAu lieu d'utiliser le processus scripté décrit précédemment, vous pouvez récupérer le mot de passe LDAP du fichier et le stocker en dehors du cluster en utilisant vos mécanismes de protection par mot de passe habituels. Ensuite, vous exécuterez ldapadd sur une invite de commande en tant qu'utilisateur régulier (non root). Dans ce cas, vous devrez vous assurer qu'une configuration d'objet LDAP valide est disponible, ainsi qu'un fichier contenant le mot de passe, puis exécuter:","html":"sudo ./add-user.sh alice 3000\nTous les utilisateurs créés de cette manière appartiendront au utilisateurs groupe (GID 100). Si nécessaire, vous pouvez modifier ce paramètre pour affecter les utilisateurs à différents groupes. Notez que la création de groupe n'est pas automatique; tous les groupes personnalisés doivent être créés avant d'ajouter les utilisateurs.\nAu lieu d'utiliser le processus scripté décrit précédemment, vous pouvez récupérer le mot de passe LDAP du fichier et le stocker en dehors du cluster en utilisant vos mécanismes de protection par mot de passe habituels. Ensuite, vous exécuterez ldapadd sur une invite de commande en tant qu'utilisateur régulier (non root). Dans ce cas, vous devrez vous assurer qu'une configuration d'objet LDAP valide est disponible, ainsi qu'un fichier contenant le mot de passe, puis exécuter:
"},{"id":"text-32","type":"text","heading":"","plain_text":"source / etc / parallelcluster / cfnconfig\nldapadd -x -D "cn = ldapadmin, dc = $ stack_name, dc = internal" -f -y \nUne fois qu'un utilisateur est ajouté, son compte sera présent dans le système (confirmé par getent passwd ou sudo getent shadow), mais leur répertoire personnel n'existera pas encore; le répertoire personnel est généralement créé lors de la première connexion. À ce stade, vos utilisateurs ne pourront toujours pas se connecter au cluster via SSH, car il n'y a aucune entrée dans leur ~ / .ssh / clés_autorisées fichier. La connexion à l'aide d'un mot de passe n'est pas non plus possible, à la fois parce que nous n'avons pas configuré de mot de passe pour l'utilisateur et parce que l'authentification par mot de passe est désactivée par défaut dans la configuration du démon AWS ParallelCluster SSH.\nNotez que nous pouvons incorporer des clés SSH dans la configuration LDAP en utilisant un schéma plus complexe. Ce serait le choix le plus approprié si vous implémentez un serveur LDAP distinct fournissant des informations d'identification pour plusieurs clusters ou pour d'autres instances qui n'ont pas de répertoires personnels partagés. Pour éviter une complexité supplémentaire dans cet exemple simple, nous allons plutôt copier une clé publique SSH, fournie par l'utilisateur potentiel, à l'emplacement approprié.\nEn supposant que nous soyons toujours connectés en tant que centos et ont enregistré la clé publique pour le nouveau Alice utilisateur à ~ / alice.pub, enregistrez le script suivant sous add-key.sh et exécutez via sudo ./add-key.sh alice alice.pub:","html":"source / etc / parallelcluster / cfnconfig\nldapadd -x -D "cn = ldapadmin, dc = $ stack_name, dc = internal" -f -y \nUne fois qu'un utilisateur est ajouté, son compte sera présent dans le système (confirmé par getent passwd ou sudo getent shadow), mais leur répertoire personnel n'existera pas encore; le répertoire personnel est généralement créé lors de la première connexion. À ce stade, vos utilisateurs ne pourront toujours pas se connecter au cluster via SSH, car il n'y a aucune entrée dans leur ~ / .ssh / clés_autorisées fichier. La connexion à l'aide d'un mot de passe n'est pas non plus possible, à la fois parce que nous n'avons pas configuré de mot de passe pour l'utilisateur et parce que l'authentification par mot de passe est désactivée par défaut dans la configuration du démon AWS ParallelCluster SSH.\nNotez que nous pouvons incorporer des clés SSH dans la configuration LDAP en utilisant un schéma plus complexe. Ce serait le choix le plus approprié si vous implémentez un serveur LDAP distinct fournissant des informations d'identification pour plusieurs clusters ou pour d'autres instances qui n'ont pas de répertoires personnels partagés. Pour éviter une complexité supplémentaire dans cet exemple simple, nous allons plutôt copier une clé publique SSH, fournie par l'utilisateur potentiel, à l'emplacement approprié.\nEn supposant que nous soyons toujours connectés en tant que centos et ont enregistré la clé publique pour le nouveau Alice utilisateur à ~ / alice.pub, enregistrez le script suivant sous add-key.sh et exécutez via sudo ./add-key.sh alice alice.pub:
"},{"id":"text-33","type":"text","heading":"","plain_text":"#! / bin / bash","html":"#! / bin / bash
"},{"id":"text-34","type":"text","heading":"","plain_text":"# N'agissez que si deux arguments sont fournis et le second est un fichier local\nsi [ $# -eq 2 ] && [ -f \"$2\" ] ; puis\n NOM D'UTILISATEUR = 1 $\n KEYFILE = 2 $\nautre\n echo "Utilisation:` basename $ 0` "\n écho " doit être un compte utilisateur "\n écho " doit être un fichier de clé publique SSH "\n sortie 1\nFi","html":"# N'agissez que si deux arguments sont fournis et le second est un fichier local\nsi [ $# -eq 2 ] && [ -f "$2" ] ; puis\n NOM D'UTILISATEUR = 1 $\n KEYFILE = 2 $\nautre\n echo "Utilisation:` basename $ 0` "\n écho " doit être un compte utilisateur "\n écho " doit être un fichier de clé publique SSH "\n sortie 1\nFi
"},{"id":"text-35","type":"text","heading":"","plain_text":"# Créez le répertoire home et .ssh de l'utilisateur, configurez le fichier authorized_keys\n# Notez que cela écrasera toutes les clés existantes si elles sont utilisées plusieurs fois\nmkhomedir_helper $ USERNAME\nmkdir -p /home/$USERNAME/.ssh\ncat $ KEYFILE> /home/$USERNAME/.ssh/authorized_keys\nchmod 600 /home/$USERNAME/.ssh/authorized_keys\nchown -R $ USERNAME: utilisateurs / domicile / $ USERNAME\nLe propriétaire de la clé privée correspondante alice.pub peut maintenant SSH dans le cluster en utilisant le nom d'utilisateur Alice. Grâce à l'utilisation répétée de add-user.sh et add-key.sh, l'administrateur du cluster peut ajouter autant de comptes supplémentaires que nécessaire en ajustant simplement les arguments de chaque script et en s'assurant que chaque ensemble de nom d'utilisateur, d'ID utilisateur et de fichier de clé publique est unique.\nLes utilisateurs créés de cette manière ne pourront pas utiliser sudo pour assumer les privilèges root; vous devez réserver les actions administratives par défaut centos utilisateur. Pour une utilisation régulière des clusters HPC (soumission de travaux au planificateur, connexion aux nœuds de calcul via SSH à partir du contrôleur, utilisation du contenu des systèmes de fichiers locaux et réseau), ces comptes ont un comportement essentiellement identique à celui des comptes créés à l'aide du adduser commander.\nConclusion\nDans cet article, nous avons décrit un mécanisme simple pour provisionner plusieurs utilisateurs dans AWS ParallelCluster à l'aide d'un serveur OpenLDAP installé localement sur le contrôleur. Avec une complexité minimale, nous avons configuré la structure de répertoires pour fournir un accès SSH aux utilisateurs HPC.\nImage de vedette via Pixabay.","html":"# Créez le répertoire home et .ssh de l'utilisateur, configurez le fichier authorized_keys\n# Notez que cela écrasera toutes les clés existantes si elles sont utilisées plusieurs fois\nmkhomedir_helper $ USERNAME\nmkdir -p /home/$USERNAME/.ssh\ncat $ KEYFILE> /home/$USERNAME/.ssh/authorized_keys\nchmod 600 /home/$USERNAME/.ssh/authorized_keys\nchown -R $ USERNAME: utilisateurs / domicile / $ USERNAME\nLe propriétaire de la clé privée correspondante alice.pub peut maintenant SSH dans le cluster en utilisant le nom d'utilisateur Alice. Grâce à l'utilisation répétée de add-user.sh et add-key.sh, l'administrateur du cluster peut ajouter autant de comptes supplémentaires que nécessaire en ajustant simplement les arguments de chaque script et en s'assurant que chaque ensemble de nom d'utilisateur, d'ID utilisateur et de fichier de clé publique est unique.\nLes utilisateurs créés de cette manière ne pourront pas utiliser sudo pour assumer les privilèges root; vous devez réserver les actions administratives par défaut centos utilisateur. Pour une utilisation régulière des clusters HPC (soumission de travaux au planificateur, connexion aux nœuds de calcul via SSH à partir du contrôleur, utilisation du contenu des systèmes de fichiers locaux et réseau), ces comptes ont un comportement essentiellement identique à celui des comptes créés à l'aide du adduser commander.\nConclusion\nDans cet article, nous avons décrit un mécanisme simple pour provisionner plusieurs utilisateurs dans AWS ParallelCluster à l'aide d'un serveur OpenLDAP installé localement sur le contrôleur. Avec une complexité minimale, nous avons configuré la structure de répertoires pour fournir un accès SSH aux utilisateurs HPC.\nImage de vedette via Pixabay.
"},{"id":"text-36","type":"text","heading":"","plain_text":"Click to rate this post!\n \n [Total: 0 Average: 0]","html":"Click to rate this post!\n \n [Total: 0 Average: 0]
"}],"sections":[{"id":"text-1","heading":"Text","content":"[bzkshopping keyword= »Minecraft » count= »8″ template= »grid »]"},{"id":"text-2","heading":"Text","content":"Une demande courante des utilisateurs d'AWS ParallelCluster est d'avoir la possibilité de déployer plusieurs comptes utilisateur POSIX. Le wiki sur la page GitHub du projet décrit un mécanisme simple pour y parvenir, et un article de blog précédent, «AWS ParallelCluster avec AWS Directory Services Authentication», explique comment intégrer AWS ParallelCluster à AWS Directory Service. Cependant, certains clients peuvent préférer un service d'annuaire traditionnel hébergé localement sur le cluster pour permettre une administration plus pratique. Cela élimine la nécessité d'arrêter et de redémarrer le nœud principal ou de connaître les détails de la gestion d'Active Directory.\nUn environnement AWS ParallelCluster multi-utilisateurs est idéal pour les cas dans lesquels une équipe de scientifiques ou d'ingénieurs collabore étroitement et a besoin de partager des ressources, telles que des données ou un budget de compte. L'utilisation d'un seul ensemble de systèmes de fichiers facilite la gestion des clusters pour l'administrateur, en particulier s'ils sont nouveaux sur AWS. Lorsque le temps de mise en solution et les dépenses totales doivent être soigneusement équilibrés, il est également utile de faire exécuter les tâches de plusieurs utilisateurs dans un seul planificateur.\nDans cet article, nous décrivons comment activer le service d'annuaire OpenLDAP sur le nœud principal du cluster. Cette activation peut créer et synchroniser une collection locale d'utilisateurs.\nLe processus documenté ici s'applique aux clusters déployés à l'aide du système d'exploitation CentOS 7, pour AWS ParallelCluster version 2.8.1. D'autres systèmes d'exploitation peuvent suivre un processus similaire, mais nécessiteront des modifications mineures des commandes utilisées pour installer les packages pertinents (par exemple, en utilisant apt-get au lieu de Miam).\nAprès avoir installé et configuré l'outil de ligne de commande AWS ParallelCluster, définissez les paramètres de configuration post_installer et s3_read_resource (ou s3_read_write_resource) pour permettre à un script d'être exécuté sur la tête du cluster et de calculer les nœuds au moment du démarrage. Voici un exemple de fichier de configuration minimale pour déployer un cluster basé sur Slurm à l'aide d'instances C5n.18xlarge, parfaitement adaptées à la mise à l'échelle des charges de travail HPC:"},{"id":"text-3","heading":"Text","content":"[aws]"},{"id":"text-4","heading":"Text","content":"aws_region_name = eu-west-1\n[global]\nupdate_check = vrai\nsanity_check = vrai\ncluster_template = par défaut"},{"id":"text-5","heading":"Text","content":"[cluster default]\nnom_clé = \nmaster_instance_type = c5.xlarge\ncompute_instance_type = c5n.18xlarge\nenable_efa = calculer\nplacement_group = DYNAMIQUE\nplacement = calculer\ndisable_hyperthreading = true\npost_install = s3: ///post-install.sh\ns3_read_resource = arn: aws: s3 :::/ *\ninitial_queue_size = 0\nmax_queue_size = 20\nkeep_initial_size = false\nplanificateur = slurm\ncluster_type = ondemand\nmaster_root_volume_size = 340\ncompute_root_volume_size = 340\nbase_os = centos7\nvpc_settings = std-vpc"},{"id":"text-6","heading":"Text","content":"[vpc std-vpc]\nvpc_id = \nmaster_subnet_id = \ncompute_subnet_id ="},{"id":"text-7","heading":"Text","content":"Le script de post-installation unique contient toutes les étapes d'installation et de déploiement associées au serveur OpenLDAP:"},{"id":"text-8","heading":"Text","content":"#! / bin / bash\nexec>> (tee /var/log/post-install.log|logger -t données-utilisateur -s 2> / dev / console) 2> & 1"},{"id":"text-9","heading":"Text","content":"### Fonctions utilitaires"},{"id":"text-10","heading":"Text","content":"install_server_packages () \n yum -y installer openldap compat-openldap openldap-clients openldap-servers openldap-servers-sql openldap-devel"},{"id":"text-11","heading":"Text","content":"prepare_ldap_server () awk 'print $ 1'> /root/.ldappasswd\n chmod 400 /root/.ldappasswd\n # Utilisez le mot de passe pour générer un hachage de mot de passe LDAP\n LDAP_HASH = $ (slappasswd -T /root/.ldappasswd)\n # Spécification de la configuration LDAP initiale\n chat < /root/ldapdb.ldif\ndn: olcDatabase = 2 hdb, cn = config\ntype de changement: modifier\nremplacer: olcSuffix\nolcSuffix: dc = $ stack_name, dc = internal"},{"id":"text-12","heading":"Text","content":"dn: olcDatabase = 2 hdb, cn = config\ntype de changement: modifier\nremplacer: olcRootDN\nolcRootDN: cn = ldapadmin, dc = $ stack_name, dc = internal"},{"id":"text-13","heading":"Text","content":"dn: olcDatabase = 2 hdb, cn = config\ntype de changement: modifier\nremplacer: olcRootPW\nolcRootPW: $ LDAP_HASH\nEOF\n # Appliquer les paramètres LDAP\n ldapmodify -Y EXTERNAL -H ldapi: /// -f /root/ldapdb.ldif\n # Appliquer les paramètres de base de données LDAP\n cp /usr/share/openldap-servers/DB_CONFIG.example / var / lib / ldap / DB_CONFIG\n chown ldap: ldap / var / lib / ldap / *\n # Appliquer un ensemble minimal de schémas LDAP\n ldapadd -Y EXTERNAL -H ldapi: /// -f /etc/openldap/schema/cosine.ldif\n ldapadd -Y EXTERNAL -H ldapi: /// -f /etc/openldap/schema/nis.ldif\n # Spécifiez une structure de répertoire minimale\n chat < /root/struct.ldif\ndn: dc = $ stack_name, dc = internal\ndc: $ stack_name\nobjectClass: haut\nobjectClass: domaine"},{"id":"text-14","heading":"Text","content":"dn: cn = ldapadmin, dc = $ stack_name, dc = internal\nobjectClass: OrganizationRole\ncn: ldapadmin\ndescription: Admin LDAP"},{"id":"text-15","heading":"Text","content":"dn: ou = Users, dc = $ stack_name, dc = internal\nobjectClass: organizationUnit\nou: Utilisateurs\nEOF\n # Appliquer la structure des répertoires\n ldapadd -x -W -D "cn = ldapadmin, dc = $ stack_name, dc = internal" -f /root/struct.ldif -y /root/.ldappasswd\n # Enregistrez le nom d'hôte du contrôleur dans un emplacement partagé pour une utilisation ultérieure\n echo "ldap_server = $ (nom d'hôte)"> /home/.ldap"},{"id":"text-16","heading":"Text","content":"install_client_packages () \n miam -y installer openldap-clients nss-pam-ldapd"},{"id":"text-17","heading":"Text","content":"prepare_ldap_client () \n source / etc / parallelcluster / cfnconfig\n source /home/.ldap\n authconfig --enableldap\n --enableldapauth\n --ldapserver = $ ldap_server\n --ldapbasedn = "dc = $ stack_name, dc = internal"\n --enablemkhomedir\n --mettre à jour\n systemctl redémarrage nslcd"},{"id":"text-18","heading":"Text","content":"### Corps principal"},{"id":"text-19","heading":"Text","content":"# Charger les variables d'environnement depuis ParallelCluster\nsource / etc / parallelcluster / cfnconfig\n# Si le script est en cours d'exécution sur le contrôleur, configurez le serveur LDAP\nsi [ $cfn_node_type == 'MasterServer' ]; puis\n install_server_packages\n prepare_ldap_server"},{"id":"text-20","heading":"Text","content":"Fi"},{"id":"text-21","heading":"Text","content":"# Pour les nœuds de contrôleur et de calcul, activez l'authentification LDAP\ninstall_client_packages\nprepare_ldap_client"},{"id":"text-22","heading":"Text","content":"Lorsque le script est exécuté sur l'instance de contrôleur, le install_server_packages et prepare_ldap_server les fonctions s'exécutent en premier, suivies de install_client_packages et prepare_ldap_client les fonctions. Toutes ces étapes se produisent pendant le processus de création de cluster initial. Lors des lancements d'instance suivants (c'est-à-dire lorsque le cluster évolue pour répondre aux demandes des travaux soumis), le processus de post-installation sur les nœuds de calcul exécutera uniquement le install_client_packages et prepare_ldap_client pas.\nC'est tout! Une fois le lancement du cluster terminé, il sera prêt à accueillir de nouveaux utilisateurs.\nProcessus de post-installation\nAvant d'ajouter des utilisateurs, parcourons le processus de post-installation étape par étape. passez à la section suivante si vous souhaitez simplement continuer à utiliser votre cluster.\nDans le prepare_ldap_server fonction, nous commençons par démarrer la giflé démon – c'est le service OpenLDAP – qui maintiendra une base de données d'utilisateurs et permettra aux clients de s'authentifier.\nEnsuite, nous générons une chaîne aléatoire à utiliser comme mot de passe de configuration LDAP et la plaçons dans le répertoire de base racine pour réutiliser plus tard. Nous générons également un hachage approprié à partir du mot de passe à insérer dans LDAP. La configuration LDAP initiale définit le olcSuffix, olcRootDN, et olcRootPW paramètres aux valeurs que nous choisissons. Dans ce cas, les affectations de variables importantes sont cn = ldapadmin, dc = $ stack_name, dc = internal et $ LDAP_HASH.\nNous sommes libres de modifier le nom commun du compte administrateur LDAP à partir de ldapadmin à tout ce que nous choisissons, et ajustez également les composants du domaine de $ stack_name et interne selon nos propres préférences. Le point clé est de s'assurer que nos valeurs choisies sont cohérentes tout au long du script. le ldapmodify La commande applique ces paramètres au service LDAP en cours d'exécution.\nEnsuite, nous importons une configuration de base de données par défaut à partir des fichiers fournis avec le package de serveur LDAP, et nous assurons le LDAP l'utilisateur du service possède tous les fichiers pertinents. La dernière étape de configuration du serveur consiste à définir et à appliquer une structure de répertoire utilisateur simple. Cela définit les fichiers liés les uns aux autres et leur permet d'être regroupés en unités organisationnelles. Pour cet exemple minimal, nous n'avons besoin que des définitions de schéma COSINE et NIS, qui sont fournies dans le cadre de l'installation LDAP. Ceux-ci décrivent la configuration minimale requise pour ajouter un utilisateur à LDAP. Notre structure de répertoires (spécifiée dans le struct.ldif fichier créé en ligne) contient une seule unité organisationnelle pour nos utilisateurs AWS ParallelCluster.\nAvant de passer à la configuration du client, nous enregistrons le nom d'hôte du serveur LDAP dans un emplacement partagé qui sera accessible aux clients sur les instances de calcul. Dans ce cas, nous pouvons placer un fichier dans le /Accueil répertoire, car il sera partagé avec le reste du cluster via NFS.\nle prepare_ldap_client La fonction établit la connexion entre les clients, exécutés sur l'instance de contrôleur ainsi que sur toutes les futures instances de calcul, et le serveur LDAP – dans ce cas, à l'aide de variables définies à la fois dans un emplacement AWS ParallelCluster standard (/ etc / parallelcluster / cfnconfig) et le /home/.ldap fichier que nous avons créé lors de la préparation du serveur.\nAjout d'utilisateurs de cluster\nUne fois que l'instance de contrôleur de cluster démarre et que la configuration LDAP est terminée, nous devons ajouter des utilisateurs au service d'annuaire. Connectez-vous au cluster en tant qu'utilisateur par défaut (centos dans ce cas) avec la commande:"},{"id":"text-23","heading":"Text","content":"pcluster ssh \nSinon, utilisez état du cluster pour obtenir l'adresse IP publique et connectez-vous à cette instance via SSH à l'aide de la commande:"},{"id":"text-24","heading":"Text","content":"ssh -i centos @\nSi vous avez utilisé une paire de clés publique / privée générée localement et stockée à l'emplacement par défaut (~ / .ssh), vous pouvez omettre -je section de la commande.\nUne fois connecté, créez un script bash avec le contenu suivant (nous appellerons ce script add-user.sh):"},{"id":"text-25","heading":"Text","content":"#! / bin / bash"},{"id":"text-26","heading":"Text","content":"# N'agissez que si deux arguments sont fournis et que l'UID est suffisamment élevé\nsi [ $# -eq 2 ] && [ \"$2\" -eq \"$2\" ] 2> / dev / null && [ \"$2\" -gt 1000 ]; puis\n NOM D'UTILISATEUR = 1 $\n USERID = 2 $\nautre\n echo "Utilisation:` basename $ 0` "\n écho " doit être une chaîne "\n écho " doit être un entier supérieur à 1 000 "\n sortie 1\nFi"},{"id":"text-27","heading":"Text","content":"# Charger les variables d'environnement qui identifient le type d'instance\nsource / etc / parallelcluster / cfnconfig"},{"id":"text-28","heading":"Text","content":"# Ecrire une configuration d'objet LDAP minimale pour un utilisateur\nchat < /tmp/$USERNAME.ldif\ndn: uid = $ USERNAME, ou = Users, dc = $ stack_name, dc = internal\nobjectClass: haut\nobjectClass: compte\nobjectClass: posixAccount\nobjectClass: shadowAccount\ncn: $ USERNAME\nuid: $ USERNAME\nuidNumber: $ USERID\ngidNumber: 100\nhomeDirectory: / home / $ USERNAME\nloginShell: / bin / bash\nEOF"},{"id":"text-29","heading":"Text","content":"# Ajouter l'utilisateur à LDAP\nldapadd -x -D "cn = ldapadmin, dc = $ stack_name, dc = internal" -f /tmp/$USERNAME.ldif -y /root/.ldappasswd"},{"id":"text-30","heading":"Text","content":"# Ranger et vérifier que l'entrée a réussi\nrm /tmp/$USERNAME.ldif\ngetent passwd $ 1\nRendre le script exécutable (chmod + x add-user.sh). L'ajout d'un utilisateur à LDAP ne nécessite pas de privilèges root en général, mais dans ce cas, notre seul enregistrement du ldapadmin le mot de passe est dans le fichier /root/.ldappasswd. Nous devrons utiliser sudo lors de l'exécution du script. Transmettez votre nom d'utilisateur et votre UID comme arguments, par exemple:"},{"id":"text-31","heading":"Text","content":"sudo ./add-user.sh alice 3000\nTous les utilisateurs créés de cette manière appartiendront au utilisateurs groupe (GID 100). Si nécessaire, vous pouvez modifier ce paramètre pour affecter les utilisateurs à différents groupes. Notez que la création de groupe n'est pas automatique; tous les groupes personnalisés doivent être créés avant d'ajouter les utilisateurs.\nAu lieu d'utiliser le processus scripté décrit précédemment, vous pouvez récupérer le mot de passe LDAP du fichier et le stocker en dehors du cluster en utilisant vos mécanismes de protection par mot de passe habituels. Ensuite, vous exécuterez ldapadd sur une invite de commande en tant qu'utilisateur régulier (non root). Dans ce cas, vous devrez vous assurer qu'une configuration d'objet LDAP valide est disponible, ainsi qu'un fichier contenant le mot de passe, puis exécuter:"},{"id":"text-32","heading":"Text","content":"source / etc / parallelcluster / cfnconfig\nldapadd -x -D "cn = ldapadmin, dc = $ stack_name, dc = internal" -f -y \nUne fois qu'un utilisateur est ajouté, son compte sera présent dans le système (confirmé par getent passwd ou sudo getent shadow), mais leur répertoire personnel n'existera pas encore; le répertoire personnel est généralement créé lors de la première connexion. À ce stade, vos utilisateurs ne pourront toujours pas se connecter au cluster via SSH, car il n'y a aucune entrée dans leur ~ / .ssh / clés_autorisées fichier. La connexion à l'aide d'un mot de passe n'est pas non plus possible, à la fois parce que nous n'avons pas configuré de mot de passe pour l'utilisateur et parce que l'authentification par mot de passe est désactivée par défaut dans la configuration du démon AWS ParallelCluster SSH.\nNotez que nous pouvons incorporer des clés SSH dans la configuration LDAP en utilisant un schéma plus complexe. Ce serait le choix le plus approprié si vous implémentez un serveur LDAP distinct fournissant des informations d'identification pour plusieurs clusters ou pour d'autres instances qui n'ont pas de répertoires personnels partagés. Pour éviter une complexité supplémentaire dans cet exemple simple, nous allons plutôt copier une clé publique SSH, fournie par l'utilisateur potentiel, à l'emplacement approprié.\nEn supposant que nous soyons toujours connectés en tant que centos et ont enregistré la clé publique pour le nouveau Alice utilisateur à ~ / alice.pub, enregistrez le script suivant sous add-key.sh et exécutez via sudo ./add-key.sh alice alice.pub:"},{"id":"text-33","heading":"Text","content":"#! / bin / bash"},{"id":"text-34","heading":"Text","content":"# N'agissez que si deux arguments sont fournis et le second est un fichier local\nsi [ $# -eq 2 ] && [ -f \"$2\" ] ; puis\n NOM D'UTILISATEUR = 1 $\n KEYFILE = 2 $\nautre\n echo "Utilisation:` basename $ 0` "\n écho " doit être un compte utilisateur "\n écho " doit être un fichier de clé publique SSH "\n sortie 1\nFi"},{"id":"text-35","heading":"Text","content":"# Créez le répertoire home et .ssh de l'utilisateur, configurez le fichier authorized_keys\n# Notez que cela écrasera toutes les clés existantes si elles sont utilisées plusieurs fois\nmkhomedir_helper $ USERNAME\nmkdir -p /home/$USERNAME/.ssh\ncat $ KEYFILE> /home/$USERNAME/.ssh/authorized_keys\nchmod 600 /home/$USERNAME/.ssh/authorized_keys\nchown -R $ USERNAME: utilisateurs / domicile / $ USERNAME\nLe propriétaire de la clé privée correspondante alice.pub peut maintenant SSH dans le cluster en utilisant le nom d'utilisateur Alice. Grâce à l'utilisation répétée de add-user.sh et add-key.sh, l'administrateur du cluster peut ajouter autant de comptes supplémentaires que nécessaire en ajustant simplement les arguments de chaque script et en s'assurant que chaque ensemble de nom d'utilisateur, d'ID utilisateur et de fichier de clé publique est unique.\nLes utilisateurs créés de cette manière ne pourront pas utiliser sudo pour assumer les privilèges root; vous devez réserver les actions administratives par défaut centos utilisateur. Pour une utilisation régulière des clusters HPC (soumission de travaux au planificateur, connexion aux nœuds de calcul via SSH à partir du contrôleur, utilisation du contenu des systèmes de fichiers locaux et réseau), ces comptes ont un comportement essentiellement identique à celui des comptes créés à l'aide du adduser commander.\nConclusion\nDans cet article, nous avons décrit un mécanisme simple pour provisionner plusieurs utilisateurs dans AWS ParallelCluster à l'aide d'un serveur OpenLDAP installé localement sur le contrôleur. Avec une complexité minimale, nous avons configuré la structure de répertoires pour fournir un accès SSH aux utilisateurs HPC.\nImage de vedette via Pixabay."},{"id":"text-36","heading":"Text","content":"Click to rate this post!\n \n [Total: 0 Average: 0]"}],"media":{"primary_image":"https://tutos-gameserver.fr/wp-content/uploads/2020/08/Managing-AWS-ParallelCluster-SSH-users-with-OpenLDAP.png"},"relations":[{"rel":"canonical","href":"https://tutos-gameserver.fr/2020/08/29/gestion-des-utilisateurs-aws-parallelcluster-ssh-avec-openldap-idk-dev-serveur-dimpression/"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2020/08/29/gestion-des-utilisateurs-aws-parallelcluster-ssh-avec-openldap-idk-dev-serveur-dimpression/llm","type":"text/html"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2020/08/29/gestion-des-utilisateurs-aws-parallelcluster-ssh-avec-openldap-idk-dev-serveur-dimpression/llm.json","type":"application/json"},{"rel":"llm-manifest","href":"https://tutos-gameserver.fr/llm-endpoints-manifest.json","type":"application/json"}],"http_headers":{"X-LLM-Friendly":"1","X-LLM-Schema":"1.1.0","Content-Security-Policy":"default-src 'none'; img-src * data:; style-src 'unsafe-inline'"},"license":"CC BY-ND 4.0","attribution_required":true,"allow_cors":false}