使用 Kerberos 通过 Amazon EMR 进行身份验证
Amazon EMR 5.10.0 及更高版本支持 Kerberos。Kerberos 是一种网络身份验证协议,使用私有密钥加密来提供强大的身份验证,以便不会通过网络以未加密的格式发送密码或其他凭证。
在 Kerberos 中,需要进行身份验证的服务和用户称为委托人。委托人存在于 Kerberos 领域 中。在该领域中,被称为密钥分发中心 (KDC) 的 Kerberos 服务器为委托人提供身份验证方法。KDC 通过颁发用于身份验证的票证 来执行此操作。KDC 维护一个包含其领域中的委托人、它们的密码及其它有关每个委托人的管理信息的数据库。KDC 还可以接受来自其它领域中的委托人的身份验证凭证,这称为跨领域信任。此外,EMR 集群可以使用外部 KDC 对委托人进行身份验证。
建立跨域信任或创建外部 KDC 的一种常见场景是从 Active Directory 域对用户进行身份验证。这允许用户在使用 SSH 连接到集群或者使用大数据应用程序时,通过其域账户访问 EMR 集群。
在使用 Kerberos 身份验证时,Amazon EMR 为集群上安装的应用程序、组件和子系统配置 Kerberos,以便它们可以相互进行身份验证。
重要
在跨领域信任中或作为外部 KDC 时,Amazon EMR 不支持 Amazon Directory Service for Microsoft Active Directory。
在使用 Amazon EMR 配置 Kerberos 之前,我们建议您熟悉 Kerberos 概念、KDC 上运行的服务和用于管理 Kerberos 服务的工具。有关更多信息,请参阅 MIT Kerberos 文档