Se utiliza SSH para conectarse a clústeres kerberizados - Amazon EMR
Requisito previo para krb5.conf (sin Active Directory)Usando kinit y SSH

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Se utiliza SSH para conectarse a clústeres kerberizados

En esta sección se muestran los pasos para que un usuario autenticado por Kerberos se conecte al nodo principal de un clúster. EMR

Cada equipo que se utilice para una SSH conexión debe tener instaladas las aplicaciones SSH cliente y Kerberos. Lo más probable es que los equipos Linux los incluyan de forma predeterminada. Por ejemplo, Open SSH está instalado en la mayoría de los sistemas operativos Linux, Unix y macOS. Para comprobar si hay un SSH cliente, escriba ssh en la línea de comandos. Si su equipo no reconoce el comando, instale un SSH cliente para conectarse al nodo principal. El SSH proyecto Open proporciona una implementación gratuita de todo el conjunto de SSH herramientas. Para obtener más información, consulte el SSH sitio web de Open. Los usuarios de Windows pueden usar aplicaciones como Pu TTY como SSH cliente.

Para obtener más información sobre SSH las conexiones, consulteConexión a un clúster.

SSHse utiliza GSSAPI para autenticar los clientes Kerberos y debe habilitar la GSSAPI autenticación del SSH servicio en el nodo principal del clúster. Para obtener más información, consulte Habilitando GSSAPI para SSH. SSHlos clientes también deben usar. GSSAPI

En los siguientes ejemplos, para MasterPublicDNS utilice el valor que aparece para Master public DNS en la pestaña Resumen del panel de detalles del clúster, por ejemplo, ec2-11-222-33-44.compute-1.amazonaws.com.

Requisito previo para krb5.conf (sin Active Directory)

Si se utiliza una configuración sin la integración de Active Directory, además del SSH cliente y las aplicaciones cliente Kerberos, cada equipo cliente debe tener una copia del /etc/krb5.conf archivo que coincida con el /etc/krb5.conf archivo del nodo principal del clúster.

Para copiar el archivo krb5.conf

  1. Se utiliza SSH para conectarse al nodo principal mediante un EC2 key pair y el hadoop usuario predeterminado, por ejemplo,. hadoop@MasterPublicDNS Para obtener instrucciones detalladas, consulte Conexión a un clúster.

  2. Desde el nodo principal, copie el contenido del archivo /etc/krb5.conf. Para obtener más información, consulte Conexión a un clúster.

  3. En cada equipo cliente que se utilice para conectarse al clúster, cree un archivo /etc/krb5.conf idéntico a partir de la copia que hizo en el paso anterior.

Usando kinit y SSH

Cada vez que un usuario se conecta desde un equipo cliente con credenciales de Kerberos, el usuario debe renovar primero los tickets de Kerberos para su usuario en el equipo cliente. Además, el SSH cliente debe estar configurado para usar la GSSAPI autenticación.

Para usarlo SSH para conectarse a un clúster kerberizado EMR

  1. Utilice kinit para renovar sus tickets de Kerberos, como se muestra en el siguiente ejemplo

    kinit user1

  2. Utilice un ssh cliente junto con el principal que creó en el nombre de usuario de Active Directory KDC o dedicado al clúster. Asegúrese de que la GSSAPI autenticación esté habilitada, como se muestra en los siguientes ejemplos.

    Ejemplo: usuarios de Linux

    La -K opción especifica la GSSAPI autenticación.

    ssh -K user1@MasterPublicDNS

    Ejemplo: usuarios de Windows (PuTTY)

    Asegúrese de que la opción de GSSAPI autenticación de la sesión esté habilitada, como se muestra:

    PuTTY Configuration window showing GSSAPI authentication options and library preferences.