Konfiguration von Kerberos auf Amazon EMR

Dieser Abschnitt enthält Konfigurationsdetails und Beispiele für das Einrichten von Kerberos mit gängigen Architekturen. Unabhängig von der gewählten Architektur sind die Konfigurationsgrundlagen identisch und in drei Schritte unterteilt. Wenn Sie eine externe Verbindung verwenden KDC oder eine realmübergreifende Vertrauensstellung einrichten, müssen Sie sicherstellen, dass jeder Knoten in einem Cluster über eine Netzwerkroute nach außen verfügt. Dazu gehört auch die Konfiguration der entsprechenden SicherheitsgruppenKDC, um eingehenden und ausgehenden Kerberos-Verkehr zuzulassen.

Schritt 1: Eine Sicherheitskonfiguration mit Kerberos-Eigenschaften erstellen

Die Sicherheitskonfiguration spezifiziert Details zu Kerberos und ermöglicht die KDC Wiederverwendung der Kerberos-Konfiguration bei jeder Clustererstellung. Sie können eine Sicherheitskonfiguration mit der EMR Amazon-Konsole erstellen, AWS CLI, oder das EMRAPI. Die Sicherheitskonfiguration kann auch andere Sicherheitsoptionen enthalten, wie beispielsweise die Verschlüsselung. Weitere Informationen zum Erstellen von Sicherheitskonfigurationen und Festlegen einer Sicherheitskonfiguration beim Erstellen eines Clusters finden Sie unter Sicherheitskonfigurationen zum Einrichten der Cluster-Sicherheit verwenden. Informationen zu Kerberos-Eigenschaften in einer Sicherheitskonfiguration finden Sie unter Kerberos-Einstellungen für Sicherheitskonfigurationen.

Schritt 2: Einen Cluster erstellen und Cluster-spezifische Kerberos-Attribute festlegen

Beim Erstellen eines Clusters legen Sie eine Kerberos-Sicherheitskonfiguration sowie Cluster-spezifische Kerberos-Optionen fest. Wenn Sie die EMR Amazon-Konsole verwenden, sind nur die Kerberos-Optionen verfügbar, die mit der angegebenen Sicherheitskonfiguration kompatibel sind. Wenn Sie die verwenden AWS CLI oder Amazon EMRAPI, stellen Sie sicher, dass Sie Kerberos-Optionen angeben, die mit der angegebenen Sicherheitskonfiguration kompatibel sind. Wenn Sie beispielsweise bei der Erstellung eines Clusters mit dem ein Hauptkennwort für eine realmübergreifende Vertrauensstellung angeben und die CLI angegebene Sicherheitskonfiguration nicht mit realmübergreifenden Vertrauensparametern konfiguriert ist, tritt ein Fehler auf. Weitere Informationen finden Sie unter Kerberos-Einstellungen für Cluster.

Schritt 3: Den Cluster-Primärknoten konfigurieren

Abhängig von den Anforderungen an Ihre Architektur und Implementierung ist möglicherweise eine zusätzliche Einrichtung auf dem Cluster erforderlich. Sie können dies nach dem Erstellen oder anhand der Schritte oder Bootstrap-Aktionen während des Erstellungsvorgangs erledigen.

Für jeden Kerberos-authentifizierten Benutzer, der über Kerberos eine Verbindung zum Cluster herstellt, müssen Sie sicherstellenSSH, dass Linux-Konten erstellt werden, die dem Kerberos-Benutzer entsprechen. Wenn Benutzerprinzipale von einem Active Directory-Domänencontroller entweder als externer KDC oder über eine realmübergreifende Vertrauensstellung bereitgestellt werden, EMR erstellt Amazon automatisch Linux-Konten. Wenn Active Directory nicht verwendet wird, müssen Sie Prinzipale für jeden Benutzer erstellen, der ihrem Linux-Benutzer entspricht. Weitere Informationen finden Sie unter Konfiguration eines Clusters für Kerberos-authentifizierte Benutzer HDFS und Verbindungen SSH.

Jeder Benutzer muss außerdem über ein HDFS Benutzerverzeichnis verfügen, das er besitzt und das Sie erstellen müssen. Außerdem SSH muss es so konfiguriert sein, dass es GSSAPI aktiviert ist, um Verbindungen von Kerberos-authentifizierten Benutzern zuzulassen. GSSAPImuss auf dem Primärknoten aktiviert sein, und die SSH Client-Anwendung muss für die Verwendung konfiguriert sein. GSSAPI Weitere Informationen finden Sie unter Konfiguration eines Clusters für Kerberos-authentifizierte Benutzer HDFS und Verbindungen SSH.