本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用 Kerberos 通过 Amazon EMR 进行身份验证 Amazon EMR 5.10.0 及更高版本支持 Kerberos。Kerberos 是一种网络身份验证协议,使用私有密钥加密来提供强大的身份验证,以便不会通过网络以未加密的格式发送密码或其他凭证。 在 Kerberos 中,需要进行身份验证的服务和用户称为*委托人*。委托人存在于 Kerberos *领域* 中。在该领域中,被称为*密钥分发中心 (KDC)* 的 Kerberos 服务器为委托人提供身份验证方法。KDC 通过颁发用于身份验证的*票证* 来执行此操作。KDC 维护一个包含其领域中的委托人、它们的密码及其它有关每个委托人的管理信息的数据库。KDC 还可以接受来自其它领域中的委托人的身份验证凭证,这称为*跨领域信任*。此外,EMR 集群可以使用外部 KDC 对委托人进行身份验证。 建立跨域信任或创建外部 KDC 的一种常见场景是从 Active Directory 域对用户进行身份验证。这允许用户在使用 SSH 连接到集群或者使用大数据应用程序时,通过其域账户访问 EMR 集群。 在使用 Kerberos 身份验证时,Amazon EMR 为集群上安装的应用程序、组件和子系统配置 Kerberos,以便它们可以相互进行身份验证。 **重要** Amazon EMR 不支持 Amazon Directory Service for Microsoft Active Directory 跨领域信任或作为外部 KDC。 在使用 Amazon EMR 配置 Kerberos 之前,我们建议您熟悉 Kerberos 概念、KDC 上运行的服务和用于管理 Kerberos 服务的工具。有关更多信息,请参阅 [MIT Kerberos 文档](http://web.mit.edu/kerberos/krb5-latest/doc/),这由 [Kerberos Consortium](http://kerberos.org/) 发布。 **Topics** + [Amazon EMR 支持的应用程序](emr-kerberos-principals.md) + [Amazon EMR 的 Kerberos 架构选项](emr-kerberos-options.md) + [在 Amazon EMR 上配置 Kerberos](emr-kerberos-configure.md) + [使用 SSH 通过 Amazon EMR 连接到 Kerberos 集群](emr-kerberos-connect-ssh.md) + [教程:使用 Amazon EMR 配置集群专用的 KDC](emr-kerberos-cluster-kdc.md) + [教程:配置与 Active Directory 域的跨领域信任](emr-kerberos-cross-realm.md)