本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
亚马逊 Kerberos 的安全配置和集群设置 EMR
当您创建使用 Kerberos 的集群时,您可以指定安全配置以及特定于集群的 Kerberos 属性。您不能指定一组属性而不指定另一组,否则会发生错误。
本主题提供了在您创建安全配置和集群时可用于 Kerberos 的配置参数概览。此外,还提供了为常见架构创建兼容安全配置和集群的CLI示例。
安全配置的 Kerberos 设置
您可以使用亚马逊EMR控制台创建指定 Kerberos 属性的安全配置, AWS CLI,或者EMRAPI。安全配置也可以包含其它安全选项,如加密。有关更多信息,请参阅创建安全配置。
使用以下参考来了解您选择的 Kerberos 架构的可用安全配置设置。将显示亚马逊EMR控制台设置。有关相应的CLI选项,请参阅使用指定 Kerberos 设置 AWS CLI或配置示例。
参数 | 描述 | ||
---|---|---|---|
Kerberos |
指定为使用此安全配置的集群启用 Kerberos。如果集群使用此安全配置,则集群还必须指定 Kerberos 设置,否则会发生错误。 |
||
Provider |
集群专用 KDC |
指定 Amazon KDC 在使用此安全配置的所有集群的主节点上EMR创建。创建集群时,您需要指定领域名称和KDC管理员密码。 如果需要,您可以KDC从其他集群中引用它。使用不同的安全配置创建这些集群,指定外部集群KDC,然后使用您为集群专KDC用的领域名称和KDC管理员密码。 |
|
外部 KDC |
仅适用于亚马逊 EMR 5.20.0 及更高版本。指定使用此安全配置的群集使用群集外部的KDC服务器对 Kerberos 主体进行身份验证。未KDC在集群上创建 A。创建集群时,您需要为外部集群指定领域名称和KDC管理员密码KDC。 |
||
票证生命周期 |
可选。指定由颁发的 Kerberos 票证在使用此安全配置的集群上有效的期限。KDC 出于安全考虑,限制票证生命周期。集群应用程序和服务在过期后自动续订票证。SSH使用 Kerberos 凭据连接到集群的用户需要在票证到期后 |
||
跨领域信任 |
指定使用此安全配置的集群KDC上的集群专用集群与其他 Kerberos 领域KDC中的集群之间的跨领域信任。 来自另一个领域的委托人(通常是用户)将通过使用此配置的集群进行身份验证。需要在其它 Kerberos 领域中进行其它配置。有关更多信息,请参阅教程:配置与 Active Directory 域的跨领域信任。 |
||
跨领域信任属性 |
领域 |
指定信任关系中其它领域的 Kerberos 领域名称。按照惯例,Kerberos 领域名称与域名相同,但全部使用大写字母。 |
|
域 |
指定信任关系中其它领域的域名。 |
||
管理服务器 |
指定信任关系其他领域中管理服务器的完全限定域名 (FQDN) 或 IP 地址。管理服务器和KDC服务器通常在同一台计算机上运行FQDN,但通过不同的端口进行通信。 如果未指定端口,则使用端口 749,这是 Kerberos 默认值。另外,您还可以指定端口 (例如, |
||
KDC服务器 |
指定信任关系其他领域中KDC服务器的完全限定域名 (FQDN) 或 IP 地址。KDC服务器和管理服务器通常在同一台计算机上运行FQDN,但使用不同的端口。 如果未指定端口,则使用端口 88,这是 Kerberos 默认值。另外,您还可以指定端口 (例如, |
||
外部 KDC |
指定集群KDC使用外部群集。 |
||
外部KDC属性 |
管理服务器 |
指定外部管理服务器的完全限定域名 (FQDN) 或 IP 地址。管理服务器和KDC服务器通常在同一台计算机上运行FQDN,但通过不同的端口进行通信。 如果未指定端口,则使用端口 749,这是 Kerberos 默认值。另外,您还可以指定端口 (例如, |
|
KDC服务器 |
指定外部KDC服务器的完全限定域名 (FQDN)。KDC服务器和管理服务器通常在同一台计算机上运行FQDN,但使用不同的端口。 如果未指定端口,则使用端口 88,这是 Kerberos 默认值。另外,您还可以指定端口 (例如, |
||
Active Directory 集成 |
指定 Kerberos 委托人身份验证与 Microsoft Active Directory 域集成。 |
||
Active Directory 集成属性 |
Active Directory 领域 |
指定 Active Directory 域的 Kerberos 领域名称。按照惯例,Kerberos 领域名称通常与域名相同,但全部使用大写字母。 |
|
Active Directory 域 |
指定 Active Directory 域名。 |
||
Active Directory 服务器 |
指定 Microsoft Active Directory 域控制器的完全限定域名 (FQDN)。 |
集群的 Kerberos 设置
您可以在使用 Amazon EMR 控制台创建集群时指定 Kerberos 设置, AWS CLI,或者EMRAPI。
使用以下参考来了解您选择的 Kerberos 架构的可用集群配置设置。将显示亚马逊EMR控制台设置。有关相应的CLI选项,请参见配置示例。
参数 | 描述 |
---|---|
领域 |
集群的 Kerberos 领域名称。Kerberos 约定是将此项设置为与域名相同,但使用大写字母。例如,对于域 |
KDC管理员密码 |
集群中为 |
跨领域信任委托人密码 (可选) |
在建立跨领域信任时是必需的。跨领域主体密码,这必须跨领域相同。使用强密码。 |
Active Directory 域加入用户(可选) |
在跨领域信任中使用 Active Directory 时必需。这是 Active Directory 账户的用户登录名,该账户具有将计算机加入域的权限。Amazon EMR 使用此身份将集群加入该域。有关更多信息,请参阅 步骤 3:向EMR集群的域中添加账户。 |
Active Directory 域加入密码(可选) |
Active Directory 域加入用户的密码。有关更多信息,请参阅步骤 3:向EMR集群的域中添加账户。 |