Verwenden Sie Kerberos für die Authentifizierung mit Amazon EMR

Amazon-EMR-Versionen 5.10.0 und höher unterstützen Kerberos. Kerberos ist ein Netzwerkauthentifizierungsprotokoll, das eine Verschlüsselung mit geheimen Schlüsseln verwendet, um eine starke Authentifizierung bereitzustellen, sodass Passwörter oder andere Anmeldeinformationen nicht in einem unverschlüsselten Format über das Netzwerk gesendet werden.

In Kerberos werden Services und Benutzer, die sich authentifizieren müssen, als Prinzipale bezeichnet. Prinzipale befinden sich in einem Kerberos-Bereich. Innerhalb des Bereichs gewährt ein Kerberos-Server, der als Key Distribution Center (KDC) bezeichnet wird, Prinzipalen die Möglichkeit, sich zu authentifizieren. Dazu stellt das KDC Tickets für die Authentifizierung aus. Das KDC unterhält eine Datenbank der Prinzipale in seinem Bereich, mit ihren Passwörtern und anderen administrativen Informationen zu jedem Prinzipal. Ein KDC kann auch Anmeldeinformationen für die Authentifizierung von Prinzipalen aus anderen Bereichen akzeptieren. Dies wird als bereichsübergreifendes Vertrauen bezeichnet. Darüber hinaus kann ein EMR-Cluster ein externes KDC verwenden, um Prinzipale zu authentifizieren.

Ein gängiges Szenario für die Einrichtung einer bereichsübergreifenden Vertrauensstellung oder für die Verwendung eines externen KDC ist die Authentifizierung von Benutzern von einer Active-Directory-Domain aus. Auf diese Weise können Benutzer mit ihrem Domainkonto auf einen EMR-Cluster zugreifen, wenn sie SSH verwenden, um eine Verbindung zu einem Cluster herzustellen oder mit Big-Data-Anwendungen zu arbeiten.

Bei Verwendung der Kerberos-Authentifizierung konfiguriert Amazon EMR Kerberos für die Anwendungen, Komponenten und Subsysteme, die es auf dem Cluster installiert, damit sie gegenseitig authentifiziert werden.

Wichtig

Amazon EMR unterstützt AWS Directory Service for Microsoft Active Directory in einer bereichsübergreifenden Vertrauensstellung oder als externes KDC nicht.

Bevor Sie Kerberos mit Amazon EMR konfigurieren, empfehlen wir, dass Sie sich über Kerberos-Konzepte, die Services für die Ausführung auf einem KDC und die Tools für die Verwaltung von Kerberos-Services informieren. Weitere Informationen finden Sie in der MIT-Kerberos-Dokumentation, die vom Kerberos Consortium veröffentlicht wird.

Themen

• Unterstützte Anwendungen
• Kerberos-Architektur-Optionen
• Konfiguration von Kerberos in Amazon EMR
• Verwenden von SSH zum Herstellen einer Verbindung mit durch Kerberos geschützten Clustern
• Tutorial: Konfigurieren eines Cluster-spezifischen KDC
• Tutorial: Konfigurieren einer bereichsübergreifenden Vertrauensstellung mit einer Active-Directory-Domain