Amazon EMR
管理指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Amazon EMR 上 Kerberos 的安全配置和集群设置

当您创建使用 Kerberos 的集群时,您可以指定安全配置以及特定于集群的 Kerberos 属性。您不能指定一组属性而不指定另一组,否则会发生错误。

本主题提供了在您创建安全配置和集群时可用于 Kerberos 的配置参数概览。此外,针对常见架构提供了创建兼容安全配置和集群的 CLI 示例。

安全配置的 Kerberos 设置

您可以使用 Amazon EMR 控制台、AWS CLI 或 EMR API 创建指定 Kerberos 属性的安全配置。安全配置也可以包含其他安全选项,如加密。有关更多信息,请参阅创建安全配置

使用以下参考来了解您选择的 Kerberos 架构的可用安全配置设置。显示的是 Amazon EMR 控制台设置。有关对应的 CLI 选项,请参阅使用 AWS CLI 指定 Kerberos 设置配置示例

参数 描述

Kerberos

指定对使用此安全配置的集群启用 Kerberos。如果集群使用此安全配置,则集群还必须指定 Kerberos 设置,否则会发生错误。

提供商

集群专用 KDC

指定 Amazon EMR 在使用此安全配置的任意集群的主节点上创建 KDC。您在创建集群时指定领域名称和 KDC 管理员密码。

如果需要,您可从其他集群引用此 KDC。使用不同安全配置创建这些集群,指定外部 KDC,并使用领域名称和您为集群专用 KDC 指定的 KDC 管理员密码。

外部 KDC

可用于 Amazon EMR 5.20.0 和更高版本。指定使用此安全配置的集群通过集群外部的 KDC 服务器对 Kerberos 委托人进行身份验证。未在集群中创建 KDC。当您创建集群时,为外部 KDC 指定领域名称和 KDC 管理员密码。

票证使用期限

可选。指定在使用此安全配置的集群上,由 KDC 颁发的 Kerberos 票证的有效期间。

出于安全考虑,限制票证生命周期。集群应用程序和服务在过期后自动续订票证。使用 Kerberos 凭证通过 SSH 连接到集群的用户在票证过期后需要从主节点命令行运行 kinit 来续订。

跨领域信任

指定使用此安全配置的集群上的集群专用 KDC 与不同 Kerberos 领域中的一个 KDC 之间的跨领域信任。

来自另一个领域的委托人(通常是用户)将对使用此配置的集群进行身份验证。需要其他 Kerberos 领域中的其他配置。有关更多信息,请参阅 教程:配置与 Active Directory 域的跨领域信任

跨领域信任属性

领域

指定信任关系中其他领域的 Kerberos 领域名称。按照约定,Kerberos 领域名称与域名相同,但使用全大写。

指定信任关系中其他领域的域名。

管理服务器

指定信任关系的其他领域中的管理服务器的完全限定域名 (FQDN) 或 IP 地址。管理服务器和 KDC 服务器通常运行在具有相同 FQDN 的同一台计算机上,但通过不同的端口进行通信。

如果未指定端口,则使用端口 749,这是 Kerberos 默认值。另外,您还可以指定端口(例如,domain.example.com:749)。

KDC 服务器

指定信任关系的其他领域中的 KDC 服务器的完全限定域名 (FQDN) 或 IP 地址。KDC 服务器和管理服务器通常运行在具有相同 FQDN 的同一台计算机上,但使用不同的端口。

如果未指定端口,则使用端口 88,这是 Kerberos 默认值。另外,您还可以指定端口(例如,domain.example.com:88)。

外部 KDC

指定集群外部 KDC 由集群使用。

外部 KDC 属性

管理服务器

指定外部管理服务器的完全限定域名 (FQDN) 或 IP 地址。管理服务器和 KDC 服务器通常运行在具有相同 FQDN 的同一台计算机上,但通过不同的端口进行通信。

如果未指定端口,则使用端口 749,这是 Kerberos 默认值。另外,您还可以指定端口(例如,domain.example.com:749)。

KDC 服务器

指定外部 KDC 服务器的完全限定域名 (FQDN)。KDC 服务器和管理服务器通常运行在具有相同 FQDN 的同一台计算机上,但使用不同的端口。

如果未指定端口,则使用端口 88,这是 Kerberos 默认值。另外,您还可以指定端口(例如,domain.example.com:88)。

Active Directory 集成

指定 Kerberos 委托人身份验证与 Microsoft Active Directory 域集成。

Active Directory 集成属性

Active Directory 领域

指定 Active Directory 域的 Kerberos 领域名称。按照约定,Kerberos 领域名称通常与域名相同,但使用全大写。

Active Directory 域

指定 Active Directory 域名。

Active Directory 服务器

指定 Microsoft Active Directory 域控制器的完全限定域名 (FQDN)。

集群的 Kerberos 设置

在使用 Amazon EMR 控制台、AWS CLI 或 EMR API 创建集群时,您可以指定 Kerberos 设置。

使用以下参考来了解您选择的 Kerberos 架构的可用集群配置设置。显示的是 Amazon EMR 控制台设置。有关对应的 CLI 选项,请参阅配置示例

参数 描述

领域

集群的 Kerberos 领域名称。Kerberos 约定是将此项设置为与域名相同,但使用大写字母。例如,对于域 ec2.internal,使用 EC2.INTERNAL 作为领域名称。

KDC 管理员密码

集群中为 kadminkadmin.local 使用的密码。这些是 Kerberos V5 管理系统的命令行接口,该系统保存了集群的 Kerberos 委托人、密码策略和 keytab。

跨领域信任委托人密码 (可选)

在建立跨领域信任时是必需的。跨领域委托人密码,这必须跨领域相同。使用强密码。

Active Directory 域加入用户(可选)

在跨领域信任中使用 Active Directory 时必需。这是 Active Directory 账户的用户登录名,该账户具有将计算机加入域的权限。Amazon EMR 使用此身份将集群加入域。有关更多信息,请参阅步骤 3:将用户账户添加到 EMR 集群的域中

Active Directory 域加入密码(可选)

Active Directory 域加入用户的密码。有关更多信息,请参阅 步骤 3:将用户账户添加到 EMR 集群的域中