在亚马逊上配置 Kerberos EMR

此部分提供了设置常见架构的 Kerberos 的配置详细信息和示例。无论您选择哪种架构，配置基本上相同，通过三个步骤完成。如果您使用外部信任KDC或设置跨领域信任，则必须确保集群中的每个节点都有通往外部的网络路由KDC，包括配置适用的安全组以允许入站和出站 Kerberos 流量。

步骤 1：使用 Kerberos 属性创建安全配置

安全配置指定了有关 Kerberos 的详细信息KDC，并允许在每次创建集群时重复使用 Kerberos 配置。您可以使用 Amazon EMR 控制台、或 AWS CLI，创建安全配置EMRAPI。安全配置也可以包含其它安全选项，如加密。有关创建安全配置以及在创建集群时指定安全配置的更多信息，请参阅使用安全配置设置集群安全性。有关安全配置中 Kerberos 属性的信息，请参阅安全配置的 Kerberos 设置。

步骤 2：创建集群并指定特定于集群的 Kerberos 属性

在创建集群时，您将指定 Kerberos 安全配置以及集群特定 Kerberos 选项。当您使用 Amazon EMR 控制台时，只有与指定安全配置兼容的 Kerberos 选项可用。使用 AWS CLI 或 Amazon 时 EMRAPI，请确保指定与指定安全配置兼容的 Kerberos 选项。例如，如果您在使用创建集群时为跨领域信任指定了主体密码CLI，并且指定的安全配置未配置跨领域信任参数，则会发生错误。有关更多信息，请参阅 集群的 Kerberos 设置。

步骤 3：配置集群主节点

根据架构和实现的要求，集群上可能会需要额外的设置。您可在创建之后进行这些设置，也可在创建过程使用步骤或引导操作。

对于使用连接到集群的每个经 Kerberos 身份验证的用户SSH，您必须确保创建与 Kerberos 用户对应的 Linux 帐户。如果用户委托人由 Active Directory 域控制器作为外部KDC或跨领域信任提供，Amazon 会自动EMR创建 Linux 账户。如果未使用 Active Directory，则您必须为对应于其 Linux 用户的每个用户创建委托人。有关更多信息，请参阅 为经过 Kerberos HDFS 身份验证的用户和连接配置集群 SSH。

每个用户还必须拥有自己的HDFS用户目录，您必须创建该目录。此外，SSH必须将其配置为GSSAPI启用，以允许通过 Kerberos 身份验证的用户进行连接。GSSAPI必须在主节点上启用，并且必须将客户端SSH应用程序配置为使用GSSAPI。有关更多信息，请参阅 为经过 Kerberos HDFS 身份验证的用户和连接配置集群 SSH。