Utilisation de l'authentification Kerberos - Amazon EMR

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de l'authentification Kerberos

Amazon EMR version 5.10.0 et versions ultérieures prend en charge Kerberos, qui est un protocole d'authentification réseau créé par le Massachusetts Institute of Technology (MIT). Kerberos utilise le chiffrement par clé secrète pour fournir une authentification renforcée afin que les mots de passe ou les autres informations d'identification ne soient pas envoyés sur le réseau dans un format non chiffré.

Dans Kerberos, les services et utilisateurs qui ont besoin de s'authentifier sont appelés mandataires. Les mandataires existent au sein d'un domaine Kerberos. Dans ce domaine, un serveur Kerberos connu comme le centre de distribution de clés (KDC) fournit aux mandataires les moyens de s'authentifier. Le KDC effectue cette opération en émettant des tickets d'authentification. Il gère une base de données des principaux au sein de son domaine, leurs mots de passe, ainsi que d'autres informations administratives sur chaque principal. Un KDC peut également accepter les informations d'authentification provenant de mandataires d'autres domaines, ce qui est connu sous le nom d'approbation inter-domaines. De plus, un cluster EMR peut utiliser un KDC externe pour authentifier les mandataires.

Un scénario courant pour établir une approbation inter-domaines ou pour utiliser un KDC externe consiste à authentifier les utilisateurs d'un domaine Active Directory. Cela permet aux utilisateurs d'accéder à un cluster EMR à l'aide de leur compte d'utilisateur de domaine lorsqu'ils utilisent SSH pour se connecter à un cluster ou utiliser les applications de Big Data.

Lorsque vous utilisez l'authentification Kerberos, Amazon EMR configure Kerberos pour les applications, les composants et les sous-systèmes qu'il installe sur le cluster afin qu'ils puissent s'authentifier les uns les autres.

Important

Amazon EMR ne prend pas en chargeAWS Directory Service for Microsoft Active Directorydans une approbation inter-domaines ou en tant que KDC externe.

Avant de configurer Kerberos à l'aide d'Amazon EMR, nous vous recommandons de vous familiariser avec les concepts Kerberos, les services qui s'exécutent sur un KDC et les outils d'administration des services Kerberos. Pour de plus amples informations, veuillez consulterDocumentation MIT Kerberos, qui est publié par leConsortium Kerberos.