Amazon EMR 上 Kerberos 的安全配置和集群设置 - Amazon EMR
安全配置的 Kerberos 设置集群的 Kerberos 设置
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon EMR 上 Kerberos 的安全配置和集群设置

当您创建使用 Kerberos 的集群时,您可以指定安全配置以及特定于集群的 Kerberos 属性。您不能指定一组属性而不指定另一组,否则会发生错误。

本主题提供了在您创建安全配置和集群时可用于 Kerberos 的配置参数概览。此外,针对常见架构提供了创建兼容安全配置和集群的 CLI 示例。

安全配置的 Kerberos 设置

您可以使用 Amazon EMR 控制台、Amazon CLI 或 EMR API 创建指定 Kerberos 属性的安全配置。安全配置也可以包含其它安全选项,如加密。有关更多信息,请参阅创建安全配置

使用以下参考来了解您选择的 Kerberos 架构的可用安全配置设置。此时将显示 Amazon EMR 控制台设置。有关对应的 CLI 选项,请参阅使用 Amazon CLI 指定 Kerberos 设置配置示例

参数 描述

Kerberos

指定为使用此安全配置的集群启用 Kerberos。如果集群使用此安全配置,则集群还必须指定 Kerberos 设置,否则会发生错误。

Provider

集群专用 KDC

指定 Amazon EMR 在使用此安全配置的任何集群的主节点上创建 KDC。您可以在创建集群时指定领域名称和 KDC 管理员密码。

如果需要,您可以从其它集群引用此 KDC。使用不同的安全配置创建这些集群,指定外部 KDC,并使用您为集群专用 KDC 指定的领域名称和 KDC 管理员密码。

外部 KDC

仅在 Amazon EMR 5.20.0 版及更高版本中可用。指定使用此安全配置的集群使用集群外部的 KDC 服务器对 Kerberos 主体进行身份验证。未在集群上创建 KDC。创建集群时,您需要为外部 KDC 指定领域名称和 KDC 管理员密码。

票证生命周期

可选。指定 KDC 颁发的 Kerberos 票证在使用此安全配置的集群上有效的期间。

出于安全考虑,限制票证生命周期。集群应用程序和服务在过期后自动续订票证。使用 Kerberos 凭证通过 SSH 连接到集群的用户在票证过期后需要通过主节点命令行运行 kinit 来续订。

跨领域信任

指定使用此安全配置的集群上的集群专用 KDC 与不同 Kerberos 领域中的 KDC 之间的跨领域信任。

来自另一个领域的委托人(通常是用户)将通过使用此配置的集群进行身份验证。需要在其它 Kerberos 领域中进行其它配置。有关更多信息,请参阅教程:配置与 Active Directory 域的跨领域信任
跨领域信任属性

领域

指定信任关系中其它领域的 Kerberos 领域名称。按照惯例,Kerberos 领域名称与域名相同,但全部使用大写字母。

指定信任关系中其它领域的域名。

管理服务器

指定信任关系的其它领域中的管理服务器的完全限定域名(FQDN)或 IP 地址。管理服务器和 KDC 服务器通常运行在具有相同 FQDN 的同一台计算机上,但通过不同的端口进行通信。

如果未指定端口,则使用端口 749,这是 Kerberos 默认值。另外,您还可以指定端口 (例如,domain.example.com:749)。

KDC 服务器

指定信任关系的其它领域中 KDC 服务器的完全限定域名(FQDN)或 IP 地址。KDC 服务器和管理服务器通常运行在具有相同 FQDN 的同一台计算机上,但是使用不同的端口。

如果未指定端口,则使用端口 88,这是 Kerberos 默认值。另外,您还可以指定端口 (例如,domain.example.com:88)。

外部 KDC

指定集群使用集群外部 KDC。
外部 KDC 属性

管理服务器

指定外部管理服务器的完全限定域名(FQDN)或 IP 地址。管理服务器和 KDC 服务器通常运行在具有相同 FQDN 的同一台计算机上,但通过不同的端口进行通信。

如果未指定端口,则使用端口 749,这是 Kerberos 默认值。另外,您还可以指定端口 (例如,domain.example.com:749)。

KDC 服务器

指定外部 KDC 服务器的完全限定域名(FQDN)。KDC 服务器和管理服务器通常运行在具有相同 FQDN 的同一台计算机上,但是使用不同的端口。

如果未指定端口,则使用端口 88,这是 Kerberos 默认值。另外,您还可以指定端口 (例如,domain.example.com:88)。

Active Directory 集成

指定 Kerberos 委托人身份验证与 Microsoft Active Directory 域集成。

Active Directory 集成属性

Active Directory 领域

指定 Active Directory 域的 Kerberos 领域名称。按照惯例,Kerberos 领域名称通常与域名相同,但全部使用大写字母。

Active Directory 域

指定 Active Directory 域名。

Active Directory 服务器

指定 Microsoft Active Directory 域控制器的完全限定域名(FQDN)。

集群的 Kerberos 设置

在使用 Amazon EMR 控制台、Amazon CLI 或 EMR API 创建集群时,您可以指定 Kerberos 设置。

使用以下参考来了解您选择的 Kerberos 架构的可用集群配置设置。此时将显示 Amazon EMR 控制台设置。有关对应的 CLI 选项,请参阅配置示例

参数 描述

领域

集群的 Kerberos 领域名称。Kerberos 约定是将此项设置为与域名相同,但使用大写字母。例如,对于域 ec2.internal,使用 EC2.INTERNAL 作为领域名称。

KDC 管理员密码

集群中为 kadminkadmin.local 使用的密码。这些是 Kerberos V5 管理系统的命令行接口,该系统保存了集群的 Kerberos 委托人、密码策略和 keytab。

跨领域信任委托人密码 (可选)

在建立跨领域信任时是必需的。跨领域主体密码,这必须跨领域相同。使用强密码。

Active Directory 域加入用户(可选)

在跨领域信任中使用 Active Directory 时必需。这是 Active Directory 账户的用户登录名,该账户具有将计算机加入域的权限。Amazon EMR 使用此身份将集群加入域。有关更多信息,请参阅步骤 3:将用户账户添加到 EMR 集群的域中

Active Directory 域加入密码(可选)

Active Directory 域加入用户的密码。有关更多信息,请参阅步骤 3:将用户账户添加到 EMR 集群的域中