You need to enable JavaScript to run this app.
导航
EMR 使用外部KDC
最近更新时间:2024.03.26 21:05:14首次发布时间:2024.01.22 19:05:56

当前EMR-V3.8.0及以后的版本都支持Kerberos创建安全类型集群,集群内的开源组件以Kerberos安全模式启动。在EMR集群创建时支持使用集群内创建的KDC,也支持使用外部创建的KDC进行统一的身份管理和认证。

使用限制

  • 外部KDC所属Kerberos模式集群需通过EMR建立。

  • 已获取正确的KDC的IP地址,Kadmin的IP地址以及Principal的名称和密码。

  • 需要确保EMR集群与自建外部KDC间网络和端口的连通性。例如,TCP 88端口、749端口和UDP 88端口。

注意事项

  • 外置KDC集群的用户管理与KDC所在集群的用户管理不联通,KDC所在集群的用户用于Kerberos认证,建议两个集群的用户同步进行导入。

  • 用户Keytab 下载只支持在KDC所属集群进行操作。

操作步骤

  1. 登录 EMR 控制台,点击创建集群。

  2. 在创建集群的软件配置阶段,打开高级设置区域的Kerberos认证开关。

  3. KDC来源选择外部KDC。默认是本集群自建KDC,即当前集群为您创建KDC。使用您外部自建的KDC,需要填写以下信息。

参数描述

KDC Hosts

KDC的IP地址和端口。多个IP地址时,可以使用英文逗号(,)隔开。例如,192.168.**.**:88,192.168.**.**:88。
确保EMR集群与KDC地址及端口的连通性。

Realm NameKDC Realm名称

KAdmin Hosts

Kadmin服务的IP地址和端口。多个IP地址时,可以使用英文逗号(,)隔开。例如,192.168.**.**:749,192.168.**.**:749。

确保EMR集群对Kadmin服务地址及端口的连通性。例如,TCP 88端口、749端口和UDP 88端口。

Admin Principal

用于连接Kadmin服务的Principal名称。 默认为root/admin
确保该Principal具有admin权限,能够创建Principal和导出keytab文件。

设置Admin密码管理员Principal对应的密码,默认为KDC所在集群的默认密码,在创建集群后在 Master 节点上的 /root/.emr/secret 文件中可以看。仅限root用户查看
确认密码两次输入密码要保持一致