As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configuração de segurança e configurações de cluster para Kerberos na Amazon EMR
Ao criar um cluster Kerberizado, você especifica a configuração de segurança com atributos do Kerberos específicos do cluster. Você não pode especificar um conjunto sem o outro, ou ocorrerá um erro.
Este tópico fornece uma visão geral dos parâmetros de configuração disponíveis para o Kerberos quando você cria uma configuração de segurança e um cluster. Além disso, CLI exemplos para criar configurações de segurança e clusters compatíveis são fornecidos para arquiteturas comuns.
Configurações do Kerberos para configurações de segurança
Você pode criar uma configuração de segurança que especifique os atributos do Kerberos usando o EMR console da Amazon AWS CLI, o ou o. EMR API A configuração de segurança também pode conter outras opções de segurança, como criptografia. Para obter mais informações, consulte Crie uma configuração de segurança com o EMR console da Amazon ou com o AWS CLI.
Use as referências a seguir para compreender as definições de configuração de segurança disponíveis para a arquitetura do Kerberos que você escolher. As configurações EMR do console Amazon são mostradas. Para obter CLI as opções correspondentes, consulte Especificando as configurações do Kerberos usando o AWS CLI ouExemplos de configuração.
Parameter | Descrição | ||
---|---|---|---|
Kerberos |
Especifica que o Kerberos está habilitado em clusters que usam essa configuração de segurança. Ao usar essa configuração de segurança, o cluster também deverá ter configurações Kerberos especificadas ou ocorrerá um erro. |
||
Provedor |
Dedicado ao cluster KDC |
Especifica que a Amazon EMR cria um KDC no nó primário de qualquer cluster que usa essa configuração de segurança. Você especifica o nome do território e a senha KDC do administrador ao criar o cluster. Você pode referenciar isso KDC em outros clusters, se necessário. Crie esses clusters usando uma configuração de segurança diferente, especifique uma externa KDC e use o nome do território e a senha de KDC administrador que você especifica para o cluster KDC dedicado. |
|
Externo KDC |
Disponível somente com o Amazon EMR 5.20.0 e versões posteriores. Especifica que os clusters que usam essa configuração de segurança autentiquem os principais do Kerberos usando um KDC servidor fora do cluster. A não KDC é criado no cluster. Ao criar o cluster, você especifica o nome do território e a senha KDC do administrador para o externoKDC. |
||
Vida útil do tíquete |
Opcional. Especifica o período pelo qual um tíquete Kerberos emitido pelo KDC é válido em clusters que usam essa configuração de segurança. Os ciclos de vida do tíquete são limitados por motivos de segurança. As aplicações e os serviços de cluster renovarão automaticamente os tíquetes quando perderem a validade. Os usuários que se conectam ao cluster SSH usando as credenciais do Kerberos precisam executar a |
||
Relação de confiança entre realms |
Especifica uma relação de confiança entre regiões entre um cluster dedicado KDC em clusters que usam essa configuração de segurança e um em uma KDC região Kerberos diferente. As entidades principais (normalmente usuários) de outro realm são autenticados em clusters que usam essa configuração. É necessário ter configuração adicional no outro realm do Kerberos. Para obter mais informações, consulte Tutorial: configurar uma relação de confiança entre realms com um controlador de domínio do Active Directory. |
||
Propriedades de confiança entre realms |
Realm |
Especifica o nome de realm Kerberos de outro realm na relação de confiança. Por convenção, os nomes de realm do Kerberos são iguais ao nome do domínio, mas em letras maiúsculas. |
|
Domínio |
Especifica o nome de domínio de outro realm na relação de confiança. |
||
Servidor do administrador |
Especifica o nome de domínio totalmente qualificado (FQDN) ou o endereço IP do servidor administrativo no outro domínio da relação de confiança. O servidor administrativo e o KDC servidor normalmente são executados na mesma máquina com a mesmaFQDN, mas se comunicam em portas diferentes. Se nenhuma porta especificada, a porta 749 será usada, que é o padrão do Kerberos. Opcionalmente, você pode especificar a porta (por exemplo, |
||
KDCservidor |
Especifica o nome de domínio totalmente qualificado (FQDN) ou o endereço IP do KDC servidor no outro domínio da relação de confiança. O KDC servidor e o servidor de administração normalmente são executados na mesma máquina com a mesma portaFQDN, mas usam portas diferentes. Se nenhuma porta especificada, a porta 88 será usada, que é o padrão do Kerberos. Opcionalmente, você pode especificar a porta (por exemplo, |
||
Externo KDC |
Especifica que os clusters externos KDC sejam usados pelo cluster. |
||
KDCPropriedades externas |
Servidor do administrador |
Especifica o nome de domínio totalmente qualificado (FQDN) ou o endereço IP do servidor administrativo externo. O servidor administrativo e o KDC servidor normalmente são executados na mesma máquina com a mesmaFQDN, mas se comunicam em portas diferentes. Se nenhuma porta especificada, a porta 749 será usada, que é o padrão do Kerberos. Opcionalmente, você pode especificar a porta (por exemplo, |
|
KDCservidor |
Especifica o nome de domínio totalmente qualificado (FQDN) do KDC servidor externo. O KDC servidor e o servidor de administração normalmente são executados na mesma máquina com a mesma portaFQDN, mas usam portas diferentes. Se nenhuma porta especificada, a porta 88 será usada, que é o padrão do Kerberos. Opcionalmente, você pode especificar a porta (por exemplo, |
||
Integração do Active Directory |
Especifica que a autenticação da entidade principal do Kerberos está integrada a um domínio do Microsoft Active Directory. |
||
Propriedades de integração do Active Directory |
Realm do Active Directory |
Especifica o nome do realm do Kerberos do domínio do Active Directory. Por convenção, os nomes de realm do Kerberos geralmente são iguais ao nome do domínio, mas em letras maiúsculas. |
|
Domínio do Active Directory |
Especifica o nome de domínio do Active Directory. |
||
Servidor do Active Directory |
Especifica o nome de domínio totalmente qualificado (FQDN) do controlador de domínio do Microsoft Active Directory. |
Configurações do Kerberos para clusters
Você pode especificar as configurações do Kerberos ao criar um cluster usando o EMR console da Amazon AWS CLI, o ou o. EMR API
Use as referências a seguir para compreender as definições de configuração de cluster disponíveis para a arquitetura do Kerberos que você escolher. As configurações EMR do console Amazon são mostradas. Para obter CLI as opções correspondentes, consulteExemplos de configuração.
Parameter | Descrição |
---|---|
Realm |
O nome do realm do Kerberos para o cluster. A convenção do Kerberos deve ser a mesma do nome de domínio, mas em maiúsculas. Por exemplo, para o domínio |
Senha do administrador do KDC |
A senha usada dentro do cluster para |
Senha do principal da relação de confiança entre realms (opcional) |
Obrigatório quando se estabelece uma relação de confiança entre realms. A senha do principal entre realms, que deve ser idêntica em todos os realms. Use uma senha forte. |
Usuário de inclusão no domínio do Active Directory (opcional) |
Obrigatório ao usar o Active Directory em uma relação de confiança entre realms. Este é o nome de logon de usuário de uma conta do Active Directory com permissão para integrar computadores ao domínio. A Amazon EMR usa essa identidade para unir o cluster ao domínio. Para obter mais informações, consulte Etapa 3: Adicionar contas ao domínio do EMR cluster. |
Senha de inclusão no domínio do Active Directory (opcional) |
A senha para o usuário de inclusão no domínio do Active Directory. Para obter mais informações, consulte Etapa 3: Adicionar contas ao domínio do EMR cluster. |