使用 Kerberos 通过亚马逊进行身份验证 EMR

亚马逊EMR发布了 5.10.0 及更高版本支持 Kerberos。Kerberos 是一种网络身份验证协议，使用私有密钥加密来提供强大的身份验证，以便不会通过网络以未加密的格式发送密码或其他凭证。

在 Kerberos 中，需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域 中。在领域内，名为密钥分发中心 (KDC) 的 Kerberos 服务器为委托人提供了进行身份验证的方法。通过发票进行身份验证来实现KDC此目的。KDC维护着一个包含其领域内的委托人、他们的密码以及有关每个委托人的其他管理信息的数据库。A KDC 也可以接受来自其他领域的委托人的身份验证凭证，这称为跨领域信任。此外，EMR集群可以使用外部来对委托人KDC进行身份验证。

建立跨领域信任或使用外部信任的常见场景KDC是对 Active Directory 域中的用户进行身份验证。这允许用户在连接EMR集群或使用大数据应用程序时使用SSH其域帐户访问集群。

当您使用 Kerberos 身份验证时，Amazon 会为其安装在集群上的应用程序、组件和子系统EMR配置 Kerberos，以便它们相互进行身份验证。

重要

Amazon EMR 不支持 AWS Directory Service for Microsoft Active Directory 跨领域信任或外部KDC信任。

在使用 Amazon 配置 Kerberos 之前EMR，我们建议您熟悉 Kerberos 的概念、在上运行的服务以及用于管理 Kerberos 服务的工具。KDC有关更多信息，请参阅 MITKerberos 联盟发布的 Kerb er os 文档。

主题

• 受支持的应用程序
• Kerberos 架构选项
• 在亚马逊上配置 Kerberos EMR
• 使用连接SSH到 Kerberized 集群
• 教程：配置集群专用 KDC
• 教程：配置与 Active Directory 域的跨领域信任