SSH を使用して Kerberized クラスターに接続する

このセクションでは、Kerberos 認証ユーザーが EMRクラスターのプライマリノードに接続する手順を示します。

SSH 接続に使用する各コンピュータには、SSHクライアントアプリケーションと Kerberos クライアントアプリケーションがインストールされている必要があります。ほとんどの Linux コンピューターにはデフォルトでこれがあります。例えば、OpenSSH はほとんどの Linux、Unix、macOS オペレーティングシステムにインストールされます。コマンドラインsshで と入力すると、 SSH クライアントを確認できます。コンピュータがコマンドを認識しない場合は、 SSHクライアントをインストールしてプライマリノードに接続します。OpenSSH プロジェクトでは、ツールのフルスイートを無料で実装SSHできます。詳細については、「OpenSSH website」を参照してください。Windows ユーザーは、Pu TTYなどのアプリケーションをSSHクライアントとして使用できます。

SSH 接続の詳細については、「」を参照してくださいクラスターに接続する。

SSH は Kerberos クライアントの認証GSSAPIに を使用します。クラスタープライマリノードで SSHサービスのGSSAPI認証を有効にする必要があります。詳細については、「GSSAPI の有効化 SSH」を参照してください。SSH クライアントは も使用する必要がありますGSSAPI。

次の例では、 の MasterPublicDNS クラスターの詳細ペインのサマリータブに表示されるマスターパブリックDNSの値を使用します。例えば、ec2-11-222-33-44.compute-1.amazonaws.com.

krb5.conf (非 Active Directory) の前提条件

Active Directory との統合なしで設定を使用する場合、SSHクライアントおよび Kerberos クライアントアプリケーションに加えて、各クライアントコンピュータには、クラスタープライマリノードの /etc/krb5.conf ファイルと一致する /etc/krb5.conf ファイルのコピーが必要です。

krb5.conf ファイルをコピーするには

1. キーEC2ペアとデフォルトhadoopユーザーを使用してプライマリノードSSHに接続するには、 を使用します。例: hadoop@MasterPublicDNS。詳細な手順については、「クラスターに接続する」を参照してください。

2. プライマリノードから /etc/krb5.conf ファイルの内容をコピーします。詳細については、「クラスターに接続する」を参照してください。

3. クラスターに接続する各クライアントコンピュータで、前のステップで作成したコピーに基づいて同一の /etc/krb5.conf ファイルを作成します。

kinit と の使用 SSH

ユーザーが Kerberos 認証情報を使用してクライアントコンピューターから接続するたびに、ユーザーはまずクライアントコンピューター上でユーザーに対する Kerberos チケットを更新する必要があります。さらに、SSHクライアントはGSSAPI認証を使用するように設定する必要があります。

SSH を使用して Kerberized EMRクラスターに接続するには

1. 次の例に示すように、kinit を使用して Kerberos チケットを更新する

   kinit user1

2. クラスター専用KDCまたは Active Directory ユーザー名で作成したプリンシパルとともに sshクライアントを使用します。次の例に示すように、GSSAPI認証が有効になっていることを確認します。

   例: Linux ユーザー

   -K オプションはGSSAPI認証を指定します。

   ssh -K user1@MasterPublicDNS

   例: Windows ユーザー (Pu TTY）

   次のように、セッションのGSSAPI認証オプションが有効になっていることを確認します。