亚马逊 Kerberos 的安全配置和集群设置 EMR - Amazon EMR
安全配置的 Kerberos 设置集群的 Kerberos 设置

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

亚马逊 Kerberos 的安全配置和集群设置 EMR

当您创建使用 Kerberos 的集群时,您可以指定安全配置以及特定于集群的 Kerberos 属性。您不能指定一组属性而不指定另一组,否则会发生错误。

本主题提供了在您创建安全配置和集群时可用于 Kerberos 的配置参数概览。此外,还提供了为常见架构创建兼容安全配置和集群的CLI示例。

安全配置的 Kerberos 设置

您可以使用亚马逊EMR控制台创建指定 Kerberos 属性的安全配置, AWS CLI,或者EMRAPI。安全配置也可以包含其它安全选项,如加密。有关更多信息,请参阅创建安全配置

使用以下参考来了解您选择的 Kerberos 架构的可用安全配置设置。将显示亚马逊EMR控制台设置。有关相应的CLI选项,请参阅使用指定 Kerberos 设置 AWS CLI配置示例

参数 描述

Kerberos

指定为使用此安全配置的集群启用 Kerberos。如果集群使用此安全配置,则集群还必须指定 Kerberos 设置,否则会发生错误。

Provider

集群专用 KDC

指定 Amazon KDC 在使用此安全配置的所有集群的主节点上EMR创建。创建集群时,您需要指定领域名称和KDC管理员密码。

如果需要,您可以KDC从其他集群中引用它。使用不同的安全配置创建这些集群,指定外部集群KDC,然后使用您为集群专KDC用的领域名称和KDC管理员密码。

外部 KDC

仅适用于亚马逊 EMR 5.20.0 及更高版本。指定使用此安全配置的群集使用群集外部的KDC服务器对 Kerberos 主体进行身份验证。未KDC在集群上创建 A。创建集群时,您需要为外部集群指定领域名称和KDC管理员密码KDC。

票证生命周期

可选。指定由颁发的 Kerberos 票证在使用此安全配置的集群上有效的期限。KDC

出于安全考虑,限制票证生命周期。集群应用程序和服务在过期后自动续订票证。SSH使用 Kerberos 凭据连接到集群的用户需要在票证到期后kinit从主节点命令行运行才能续订。

跨领域信任

指定使用此安全配置的集群KDC上的集群专用集群与其他 Kerberos 领域KDC中的集群之间的跨领域信任。

来自另一个领域的委托人(通常是用户)将通过使用此配置的集群进行身份验证。需要在其它 Kerberos 领域中进行其它配置。有关更多信息,请参阅教程:配置与 Active Directory 域的跨领域信任
跨领域信任属性

领域

指定信任关系中其它领域的 Kerberos 领域名称。按照惯例,Kerberos 领域名称与域名相同,但全部使用大写字母。

指定信任关系中其它领域的域名。

管理服务器

指定信任关系其他领域中管理服务器的完全限定域名 (FQDN) 或 IP 地址。管理服务器和KDC服务器通常在同一台计算机上运行FQDN,但通过不同的端口进行通信。

如果未指定端口,则使用端口 749,这是 Kerberos 默认值。另外,您还可以指定端口 (例如,domain.example.com:749)。

KDC服务器

指定信任关系其他领域中KDC服务器的完全限定域名 (FQDN) 或 IP 地址。KDC服务器和管理服务器通常在同一台计算机上运行FQDN,但使用不同的端口。

如果未指定端口,则使用端口 88,这是 Kerberos 默认值。另外,您还可以指定端口 (例如,domain.example.com:88)。

外部 KDC

指定集群KDC使用外部群集。
外部KDC属性

管理服务器

指定外部管理服务器的完全限定域名 (FQDN) 或 IP 地址。管理服务器和KDC服务器通常在同一台计算机上运行FQDN,但通过不同的端口进行通信。

如果未指定端口,则使用端口 749,这是 Kerberos 默认值。另外,您还可以指定端口 (例如,domain.example.com:749)。

KDC服务器

指定外部KDC服务器的完全限定域名 (FQDN)。KDC服务器和管理服务器通常在同一台计算机上运行FQDN,但使用不同的端口。

如果未指定端口,则使用端口 88,这是 Kerberos 默认值。另外,您还可以指定端口 (例如,domain.example.com:88)。

Active Directory 集成

指定 Kerberos 委托人身份验证与 Microsoft Active Directory 域集成。

Active Directory 集成属性

Active Directory 领域

指定 Active Directory 域的 Kerberos 领域名称。按照惯例,Kerberos 领域名称通常与域名相同,但全部使用大写字母。

Active Directory 域

指定 Active Directory 域名。

Active Directory 服务器

指定 Microsoft Active Directory 域控制器的完全限定域名 (FQDN)。

集群的 Kerberos 设置

您可以在使用 Amazon EMR 控制台创建集群时指定 Kerberos 设置, AWS CLI,或者EMRAPI。

使用以下参考来了解您选择的 Kerberos 架构的可用集群配置设置。将显示亚马逊EMR控制台设置。有关相应的CLI选项,请参见配置示例

参数 描述

领域

集群的 Kerberos 领域名称。Kerberos 约定是将此项设置为与域名相同,但使用大写字母。例如,对于域 ec2.internal,使用 EC2.INTERNAL 作为领域名称。

KDC管理员密码

集群中为 kadminkadmin.local 使用的密码。这些是 Kerberos V5 管理系统的命令行接口,该系统保存了集群的 Kerberos 委托人、密码策略和 keytab。

跨领域信任委托人密码 (可选)

在建立跨领域信任时是必需的。跨领域主体密码,这必须跨领域相同。使用强密码。

Active Directory 域加入用户(可选)

在跨领域信任中使用 Active Directory 时必需。这是 Active Directory 账户的用户登录名,该账户具有将计算机加入域的权限。Amazon EMR 使用此身份将集群加入该域。有关更多信息,请参阅 步骤 3:向EMR集群的域中添加账户

Active Directory 域加入密码(可选)

Active Directory 域加入用户的密码。有关更多信息,请参阅步骤 3:向EMR集群的域中添加账户