SSH を使用して Amazon で Kerberized クラスターに接続する EMR

このセクションでは、Kerberos 認証ユーザーがEMRクラスターのプライマリノードに接続する手順を示します。

SSH 接続に使用する各コンピュータには、SSHクライアントと Kerberos クライアントアプリケーションがインストールされている必要があります。ほとんどの Linux コンピューターにはデフォルトでこれがあります。例えば、OpenSSH はほとんどの Linux、Unix、macOS オペレーティングシステムにインストールされます。コマンドラインsshで と入力すると、SSHクライアントを確認できます。コンピュータがコマンドを認識しない場合は、SSHクライアントをインストールしてプライマリノードに接続します。OpenSSH プロジェクトでは、ツールの完全なスイートを無料で実装SSHできます。詳細については、「OpenSSH ウェブサイト」を参照してください。Windows ユーザーは、PuTTY などのアプリケーションをSSHクライアントとして使用できます。

SSH 接続の詳細については、「」を参照してくださいAmazon EMRクラスターに接続する。

SSH は Kerberos クライアントを認証GSSAPIするために を使用し、クラスタープライマリノードでSSHサービスのGSSAPI認証を有効にする必要があります。詳細については、「GSSAPI の有効化 SSH」を参照してください。SSH クライアントは も使用する必要がありますGSSAPI。

次の例では、MasterPublicDNS クラスターの詳細ペインのサマリータブDNSに表示される 値を使用します。例：ec2-11-222-33-44.compute-1.amazonaws.com.

krb5.conf (非 Active Directory) の前提条件

Active Directory 統合なしで設定を使用する場合、SSHクライアントと Kerberos クライアントアプリケーションに加えて、各クライアントコンピュータには、クラスタープライマリノード上の /etc/krb5.conf ファイルに一致する/etc/krb5.confファイルのコピーが必要です。

krb5.conf ファイルをコピーするには

1. SSH を使用して、EC2キーペアとデフォルトhadoopユーザーを使用してプライマリノードに接続します。例: hadoop@MasterPublicDNS。詳細な手順については、「Amazon EMRクラスターに接続する」を参照してください。

2. プライマリノードから /etc/krb5.conf ファイルの内容をコピーします。詳細については、「Amazon EMRクラスターに接続する」を参照してください。

3. クラスターに接続する各クライアントコンピュータで、前のステップで作成したコピーに基づいて同一の /etc/krb5.conf ファイルを作成します。

kinit と SSH

ユーザーが Kerberos 認証情報を使用してクライアントコンピューターから接続するたびに、ユーザーはまずクライアントコンピューター上でユーザーに対する Kerberos チケットを更新する必要があります。さらに、SSHクライアントはGSSAPI認証を使用するように設定する必要があります。

SSH を使用して Kerberized EMRクラスターに接続するには

1. 次の例に示すように、kinit を使用して Kerberos チケットを更新する

   kinit user1

2. ssh クラスター専用KDCまたは Active Directory ユーザー名で作成したプリンシパルとともにクライアントを使用します。次の例に示すように、GSSAPI認証が有効になっていることを確認してください。

   例: Linux ユーザー

   -K オプションはGSSAPI認証を指定します。

   ssh -K user1@MasterPublicDNS

   例: Windows ユーザー (Pu TTY）

   次のように、セッションのGSSAPI認証オプションが有効になっていることを確認します。