Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Configuración de Kerberos en Amazon EMR
En esta sección, se proporcionan detalles y ejemplos de la configuración de Kerberos con arquitecturas comunes. Independientemente de la arquitectura que elija, los aspectos básicos de la configuración son los mismos y se realizan en tres pasos. Si utiliza una red externa KDC o configura una confianza entre dominios, debe asegurarse de que todos los nodos de un clúster tengan una ruta de red hacia el exteriorKDC, incluida la configuración de los grupos de seguridad aplicables para permitir el tráfico Kerberos entrante y saliente.
Paso 1: Cree una configuración de seguridad con propiedades de Kerberos
La configuración de seguridad especifica detalles sobre Kerberos KDC y permite reutilizar la configuración de Kerberos cada vez que se crea un clúster. Puede crear una configuración de seguridad mediante la EMR consola de Amazon AWS CLI, la o la EMRAPI. La configuración de seguridad también pueden contener otras opciones de seguridad, como, por ejemplo, el cifrado. Para obtener más información acerca de la creación y especificación de las configuraciones de seguridad cuando se crea un clúster, consulte Usa configuraciones de seguridad para configurar la seguridad de los EMR clústeres de Amazon. Para obtener más información acerca de las propiedades de Kerberos en una configuración de seguridad, consulte Configuración de Kerberos para las configuraciones de seguridad.
Paso 2: Cree un clúster y especifique los atributos de Kerberos específicos del clúster
Al crear un clúster, especifique la configuración de seguridad de Kerberos junto con las opciones de Kerberos específicas del clúster. Cuando utiliza la EMR consola de Amazon, solo están disponibles las opciones de Kerberos compatibles con la configuración de seguridad especificada. Cuando utilice Amazon AWS CLI o Amazon EMRAPI, asegúrese de especificar las opciones de Kerberos compatibles con la configuración de seguridad especificada. Por ejemplo, si especifica una contraseña principal para una confianza entre dominios al crear un clúster con los parámetros de confianza entre dominios y la CLI configuración de seguridad especificada no está configurada con parámetros de confianza entre dominios, se produce un error. Para obtener más información, consulte Configuración de Kerberos para clústeres.
Paso 3: configure el nodo principal del clúster
En función de los requisitos de su arquitectura e implementación, es posible que sea necesario realizar una configuración adicional en el clúster. Puede hacer esto después de crearla o mediante pasos o acciones de arranque durante el proceso de creación.
Para cada usuario autenticado por Kerberos que se conecte al clúster medianteSSH, debe asegurarse de que se hayan creado cuentas de Linux que correspondan al usuario de Kerberos. Si los nombres de usuario los proporciona un controlador de dominio de Active Directory, ya sea de forma externa KDC o mediante una confianza entre dominios, Amazon EMR crea cuentas de Linux automáticamente. Si no se utiliza Active Directory, debe crear entidades principales para cada usuario que se correspondan con su usuario de Linux. Para obtener más información, consulte Configuración de un EMR clúster de Amazon para conexiones y usuarios autenticados por Kerberos HDFS SSH.
Cada usuario también debe tener un directorio de HDFS usuarios de su propiedad, que usted debe crear. Además, SSH debe configurarse con la GSSAPI opción habilitada para permitir las conexiones de los usuarios autenticados por Kerberos. GSSAPIdebe estar habilitado en el nodo principal y la SSH aplicación cliente debe estar configurada para su uso. GSSAPI Para obtener más información, consulte Configuración de un EMR clúster de Amazon para conexiones y usuarios autenticados por Kerberos HDFS SSH.
