Utilisation de SSH pour se connecter à des clusters Kerberisés - Amazon EMR
Prérequis pour krb5.conf (non-Active Directory)Utiliser kinit et SSH

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de SSH pour se connecter à des clusters Kerberisés

Cette section illustre les étapes pour qu'un utilisateur authentifié par Kerberos se connecte au nœud principal d'un cluster EMR.

Chaque ordinateur qui est utilisé pour une connexion SSH doit avoir le client SSH et les applications client Kerberos installés. Il est probable que les ordinateurs Linux comportent ces éléments par défaut. Par exemple, OpenSSH est installé sur la plupart des systèmes d'exploitation Linux, Unix et macOS. Vous pouvez vérifier un client SSH en tapant ssh dans la ligne de commande. Si votre ordinateur ne reconnaît pas la commande, installez un client SSH pour vous connecter au nœud principal. Le projet OpenSSH offre une implémentation gratuite de la suite entière des outils SSH. Pour plus d'informations, consultez le site Web OpenSSH. Les utilisateurs Windows peuvent utiliser des applications telles que PuTTY en tant que client SSH.

Pour plus d'informations sur vos connexions SSH, consultez Connect à un cluster.

SSH utilise GSSAPI pour authentifier les clients Kerberos et vous devez activer l'authentification GSSAPI pour le service SSH sur le nœud principal du cluster. Pour plus d'informations, veuillez consulter Activation de GSSAPI pour SSH. Les clients SSH doivent également utiliser GSSAPI.

Dans les exemples suivants, pour le MasterPublicDNS, utilisez la valeur qui apparaît pour le DNS public principal dans l'onglet Résumé du volet des détails du cluster, par exemple, ec2-11-222-33-44.compute-1.amazonaws.com.

Prérequis pour krb5.conf (non-Active Directory)

Lorsque vous utilisez une configuration sans l'intégration d'Active Directory, en plus du client SSH et des applications clientes Kerberos, chaque ordinateur client doit avoir une copie du fichier /etc/krb5.conf correspondant au fichier /etc/krb5.conf sur le nœud principal du cluster.

Pour copier le fichier krb5.conf

  1. Utilisez SSH pour vous connecter au nœud principal à l'aide d'une key pair EC2 et de l'hadooputilisateur par défaut, par exemplehadoop@MasterPublicDNS. Pour obtenir des instructions complètes, veuillez consulter Connect à un cluster.

  2. Dans le nœud principal, copiez le contenu du fichier /etc/krb5.conf. Pour plus d'informations, veuillez consulter Connect à un cluster.

  3. Sur chaque ordinateur client qui sera utilisé pour se connecter au cluster, créez un fichier /etc/krb5.conf identique à partir de la copie que vous avez créée à l'étape précédente.

Utiliser kinit et SSH

Chaque fois qu'un utilisateur se connecte à partir d'un ordinateur client à l'aide des informations d'identification Kerberos, l'utilisateur doit d'abord renouveler un ticket Kerberos pour leurs utilisateurs sur l'ordinateur client. En outre, le client SSH doit être configuré pour utiliser l'authentification GSSAPI.

Utilisation de SSH pour se connecter aux clusters EMR Kerberos

  1. Utilisez kinit pour renouveler vos tickets Kerberos, comme illustré dans l'exemple suivant

    kinit user1

  2. Utilisez un client ssh en même temps que le mandataire que vous avez créé dans le KDC dédié au cluster ou dans le nom d'utilisateur Active Directory. Assurez-vous que l'authentification GSSAPI est activée, telle qu'illustrée dans les exemples suivants.

    Exemple : utilisateurs Linux

    L'option -K spécifie l'authentification GSSAPI.

    ssh -K user1@MasterPublicDNS

    Exemple : utilisateurs Windows (PuTTY)

    Assurez-vous que l'authentification GSSAPI est activée pour la session, telle qu'illustrée :