Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Pengaturan konfigurasi keamanan dan klaster untuk Kerberos di Amazon EMR
Ketika Anda membuat sebuah klaster Kerberized, Anda menentukan konfigurasi keamanan bersama-sama dengan atribut Kerberos yang khusus untuk klaster. Anda tidak dapat menentukan satu set tanpa yang lain, atau akan terjadi kesalahan.
Topik ini menyediakan parameter konfigurasi gambaran umum yang tersedia untuk Kerberos ketika Anda membuat konfigurasi keamanan dan sebuah klaster. Selain itu, contoh CLI untuk membuat konfigurasi keamanan yang kompatibel dan klaster disediakan untuk arsitektur umum.
Pengaturan Kerberos untuk konfigurasi keamanan
Anda dapat membuat konfigurasi keamanan yang menentukan atribut Kerberos menggunakan konsol EMR Amazon, API EMR, AWS CLI atau EMR API. Konfigurasi keamanan juga dapat berisi opsi keamanan lainnya, seperti enkripsi. Untuk informasi selengkapnya, lihat Buat konfigurasi keamanan dengan konsol EMR Amazon atau dengan AWS CLI.
Gunakan referensi berikut untuk memahami pengaturan konfigurasi keamanan yang tersedia untuk arsitektur Kerberos yang Anda pilih. Pengaturan konsol Amazon EMR ditampilkan. Untuk opsi CLI yang sesuai, lihat Menentukan pengaturan Kerberos menggunakan AWS CLI atau Contoh konfigurasi.
Parameter | Deskripsi | ||
---|---|---|---|
Kerberos |
Menentukan bahwa Kerberos diaktifkan untuk klaster yang menggunakan konfigurasi keamanan ini. Jika sebuah klaster menggunakan konfigurasi keamanan ini, klaster juga harus memiliki pengaturan Kerberos yang ditentukan atau terjadi kesalahan. |
||
Penyedia |
KDC khusus cluster |
Menentukan bahwa Amazon EMR membuat KDC pada node utama dari setiap cluster yang menggunakan konfigurasi keamanan ini. Anda menentukan nama ranah dan kata sandi admin KDC ketika Anda membuat klaster. Anda dapat referensi KDC ini dari klaster lain, jika diperlukan. Membuat klaster tersebut menggunakan konfigurasi keamanan yang berbeda, menentukan KDC eksternal, dan menggunakan nama ranah dan kata sandi admin KDC yang Anda tentukan untuk KDC khusus klaster. |
|
KDC Eksternal |
Hanya tersedia dengan Amazon EMR 5.20.0 dan yang lebih baru. Menentukan bahwa klaster menggunakan konfigurasi keamanan ini mengautentikasi utama Kerberos menggunakan server KDC di luar klaster. KDC tidak dibuat pada klaster. Ketika Anda membuat klaster, Anda menentukan nama ranah dan kata sandi admin KDC untuk KDC eksternal. |
||
Tiket Seumur Hidup |
Opsional. Menentukan periode tiket Kerberos mana yang valid yang dikeluarkan oleh KDC pada klaster yang menggunakan konfigurasi keamanan ini. Masa pakai tiket terbatas untuk alasan keamanan. Aplikasi klaster dan layanan perpanjangan tiket otomatis setelah mereka kedaluwarsa. Pengguna yang terhubung ke cluster melalui SSH menggunakan kredensyal Kerberos harus menjalankan |
||
Kepercayaan lintas alam |
Menentukan kepercayaan lintas ranah antara KDC khusus klaster pada klaster yang menggunakan konfigurasi keamanan ini dan KDC di ranah Kerberos yang berbeda. Utama (biasanya pengguna) dari ranah lain diautentikasi ke klaster yang menggunakan konfigurasi ini. Konfigurasi tambahan di ranah Kerberos lainnya diperlukan. Untuk informasi selengkapnya, lihat Tutorial: Konfigurasi kepercayaan lintas ranah dengan domain Direktori Aktif. |
||
Properti kepercayaan lintas ranah |
Realm |
Menentukan nama ranah Kerberos dari ranah lain di hubungan kepercayaan. Dengan konvensi, nama ranah Kerberos adalah sama dengan nama domain tetapi semuanya menggunakan huruf kapital. |
|
Domain |
Menentukan nama domain dari ranah lain di hubungan kepercayaan. |
||
Server admin |
Menentukan nama domain yang memenuhi syarat (FQDN) atau alamat IP dari server admin di ranah lain dari hubungan kepercayaan. server admin dan server KDC biasanya berjalan pada mesin yang sama dengan FQDN yang sama, tetapi berkomunikasi pada port yang berbeda. Jika port tidak ditentukan, port 749 digunakan, yang merupakan default Kerberos. Atau, Anda dapat menentukan port (misalnya, |
||
Server KDC |
Menentukan nama domain yang memenuhi syarat (FQDN) atau alamat IP server KDC di ranah lain dari hubungan kepercayaan. Server KDC dan server admin biasanya berjalan pada mesin yang sama dengan FQDN yang sama, tetapi menggunakan port yang berbeda. Jika port tidak ditentukan, port 88 digunakan, yang merupakan default Kerberos. Atau, Anda dapat menentukan port (misalnya, |
||
KDC Eksternal |
Menentukan bahwa klaster eksternal KDC digunakan oleh klaster. |
||
Properti KDC eksternal |
Server admin |
Menentukan nama domain yang memenuhi syarat (FQDN) atau alamat IP dari server admin eksternal. Server admin dan server KDC biasanya berjalan pada mesin yang sama dengan FQDN yang sama, tetapi berkomunikasi pada port yang berbeda. Jika port tidak ditentukan, port 749 digunakan, yang merupakan default Kerberos. Atau, Anda dapat menentukan port (misalnya, |
|
Server KDC |
Menentukan nama domain yang memenuhi syarat (FQDN) dari server KDC eksternal. Server KDC dan server admin biasanya berjalan pada mesin yang sama dengan FQDN yang sama, tetapi menggunakan port yang berbeda. Jika port tidak ditentukan, port 88 digunakan, yang merupakan default Kerberos. Atau, Anda dapat menentukan port (misalnya, |
||
Integrasi Direktori Aktif |
Menentukan bahwa autentikasi utama Kerberos terintegrasi dengan domain Direktori Aktif Microsoft. |
||
Properti integrasi Direktori Aktif |
Ranah Direktori Aktif |
Menentukan nama ranah Kerberos dari domain Direktori Aktif. Dengan konvensi, nama ranah Kerberos biasanya sama dengan nama domain tetapi di huruf kapital semua. |
|
Domain Direktori Aktif |
Menentukan nama domain Direktori Aktif. |
||
Server Direktori Aktif |
Menentukan nama domain yang memenuhi syarat (FQDN) dari pengendali domain Direktori Aktif Microsoft. |
Pengaturan Kerberos untuk klaster
Anda dapat menentukan setelan Kerberos saat membuat klaster menggunakan konsol EMR Amazon, API EMR, AWS CLI atau EMR.
Gunakan referensi berikut untuk memahami pengaturan konfigurasi klaster yang tersedia untuk arsitektur Kerberos yang Anda pilih. Pengaturan konsol Amazon EMR ditampilkan. Untuk opsi CLI yang sesuai, lihat Contoh konfigurasi.
Parameter | Deskripsi |
---|---|
Ranah |
Nama ranah Kerberos untuk klaster. Konvensi Kerberos adalah untuk mengatur ini agar sama dengan nama domain, tetapi dengan huruf besar. Misalnya, untuk domain |
Kata sandi admin KDC |
Kata sandi yang digunakan di klaster untuk |
Kepercayaan lintas ranah kata sandi utama (opsional) |
Diperlukan saat membangun kepercayaan lintas ranah. Kata sandi utama lintas ranah, yang harus identik di seluruh ranah. Menggunakan kata sandi yang kuat. |
Pengguna gabungan domain Direktori Aktif (opsional) |
Diperlukan saat menggunakan Direktori Aktif di kepercayaan lintas ranah. Ini adalah nama log in pengguna akun Direktori Aktif dengan izin untuk bergabung dengan komputer ke domain. Amazon EMR menggunakan identitas ini untuk bergabung dengan klaster ke domain. Untuk informasi selengkapnya, lihat Langkah 3: Tambahkan akun ke domain untuk EMR Cluster. |
Kata sandi gabungan domain Direktori Aktif (opsional) |
Kata sandi untuk pengguna gabungan domain Direktori Aktif Untuk informasi selengkapnya, lihat Langkah 3: Tambahkan akun ke domain untuk EMR Cluster. |