使用 Amazon LDAP 的示例 EMR

佈建使用LDAP整合的EMR叢集後，您可以透過其內建的使用者名稱和密碼驗證機制，將LDAP認證提供給任何支援的應用程式。本頁顯示部分範例。

使用LDAP驗證與阿帕奇蜂巢

範例 – Apache Hive

下面的示例命令通過 HiveServer 2 和直線啟動 Apache 蜂巢會話：

beeline -u "jdbc:hive2://$HOSTNAME:10000/default;ssl=true;sslTrustStore=$TRUSTSTORE_PATH;trustStorePassword=$TRUSTSTORE_PASS"  -n LDAP_USERNAME -p LDAP_PASSWORD

使用LDAP身份驗證與阿帕奇利維

範例 – Apache Livy

下面的示例命令通過 c URL 啟動一個 Livy 會話。將 ENCODED-KEYPAIR 取代為 username:password 的 Base64 編碼字串。

curl -X POST --data '{"proxyUser":"LDAP_USERNAME","kind": "pyspark"}' -H "Content-Type: application/json" -H "Authorization: Basic ENCODED-KEYPAIR" DNS_OF_PRIMARY_NODE:8998/sessions

使用LDAP身份驗證與普雷斯托

範例 – Presto

下面的示例命令通過普雷斯托啟動普雷斯CLI托會話：

presto-cli --user "LDAP_USERNAME" --password --catalog hive

執行此命令之後，請在提示下輸入LDAP密碼。

使用 Tr LDAP ino 的身份驗證

範例 – Trino

下列範例指令會透過 Trino 啟動 Trino 工作階段：CLI

trino-cli --user "LDAP_USERNAME" --password --catalog hive

執行此命令之後，請在提示下輸入LDAP密碼。

搭配 Hue 使用LDAP驗證

您可以透過在叢集上建立的通SSH道存取 Hue UI，也可以設定 Proxy 伺服器以公開廣播至 Hue 的連線。由於 Hue 預設不會以HTTPS模式執行，因此建議您使用額外的加密層，以確保用戶端與 Hue UI 之間的通訊已使用加密HTTPS。這減少了您意外地以純文字形式暴露使用者憑證的可能性。

若要使用 Hue UI，請在瀏覽器中開啟 Hue UI，然後輸入使用LDAP者名稱密碼以登入。如果憑證正確，Hue 會將您登入，並使用您的身分對所有支援的應用程式進行身分驗證。

用SSH於其他應用程式的密碼驗證和 Kerberos 票證

重要

我們不建議您在EMR叢集SSH中使用密碼驗證。

您可以使用您的LDAP認證SSH到EMR叢集。若要執行此操作，請true在用來啟動叢集的 Amazon EMR 安全組態中將組態設定為。EnableSSHLogin然後，在啟動叢集後，使用下列命令SSH來執行叢集：

ssh username@EMR_PRIMARY_DNS_NAME

執行此命令之後，請在提示下輸入LDAP密碼。

Amazon EMR 包含叢集上指令碼，可讓使用者產生 Kerberos 金鑰索引標籤檔案和票證，以便與不直接接受登入資料的受支援應用程式搭配使用。LDAP其中一些應用程序包括 spark-submit SQL Spark 和 PySpark.

執行 ldap-kinit，並遵循提示字元。如果身分驗證成功，Kerberos keytab 檔案將顯示在您的主目錄中，並具有有效的 Kerberos 票證。使用 Kerberos 票證可以像在任何 Kerberos 化環境中一樣執行應用程式。