Conditions préalables pour krb5.conf (non Active Directory)En utilisant kinit et SSH

Utilisation SSH pour se connecter à des clusters Kerberisés avec Amazon EMR

Cette section décrit les étapes permettant à un utilisateur authentifié par Kerberos de se connecter au nœud principal d'un cluster. EMR

Des applications clientes et des applications SSH clientes Kerberos doivent être installées sur chaque ordinateur utilisé pour une SSH connexion. Il est probable que les ordinateurs Linux comportent ces éléments par défaut. Par exemple, Open SSH est installé sur la plupart des systèmes d'exploitation Linux, Unix et macOS. Vous pouvez rechercher un SSH client en tapant ssh sur la ligne de commande. Si votre ordinateur ne reconnaît pas la commande, installez un SSH client pour vous connecter au nœud principal. Le SSH projet Open fournit une implémentation gratuite de la suite complète d'SSHoutils. Pour plus d'informations, consultez le SSH site Web Open. Les utilisateurs de Windows peuvent utiliser des applications telles que Pu TTY en tant que SSH client.

Pour plus d'informations sur les connexions SSH, consultez Connect à un EMR cluster Amazon.

SSHutilise GSSAPI pour authentifier les clients Kerberos, et vous devez activer GSSAPI l'authentification pour le SSH service sur le nœud principal du cluster. Pour plus d'informations, consultezActivation de GSSAPI pour SSH. SSHles clients doivent également utiliserGSSAPI.

Dans les exemples suivants, pour MasterPublicDNS utiliser la valeur qui apparaît pour Master public DNS dans l'onglet Résumé du volet des détails du cluster, par exemple,. ec2-11-222-33-44.compute-1.amazonaws.com

Conditions préalables pour krb5.conf (non Active Directory)

Lorsque vous utilisez une configuration sans intégration d'Active Directory, outre le SSH client et les applications clientes Kerberos, chaque ordinateur client doit disposer d'une copie du /etc/krb5.conf fichier correspondant au /etc/krb5.conf fichier du nœud principal du cluster.

Pour copier le fichier krb5.conf

SSHÀ utiliser pour se connecter au nœud principal à l'aide d'une paire de EC2 clés et de l'hadooputilisateur par défaut, par exemple,. hadoop@MasterPublicDNS Pour obtenir des instructions complètes, veuillez consulter Connect à un EMR cluster Amazon.
Dans le nœud primaire, copiez le contenu du fichier /etc/krb5.conf. Pour de plus amples informations, veuillez consulter Connect à un EMR cluster Amazon.
Sur chaque ordinateur client qui sera utilisé pour se connecter au cluster, créez un fichier /etc/krb5.conf identique à partir de la copie que vous avez créée à l'étape précédente.

En utilisant kinit et SSH

Chaque fois qu'un utilisateur se connecte à partir d'un ordinateur client à l'aide des informations d'identification Kerberos, l'utilisateur doit d'abord renouveler un ticket Kerberos pour leurs utilisateurs sur l'ordinateur client. En outre, le SSH client doit être configuré pour utiliser l'GSSAPIauthentification.

À utiliser SSH pour se connecter à un cluster Kerberisé EMR

Utilisez kinit pour renouveler vos tickets Kerberos, comme illustré dans l'exemple suivant
```
kinit user1
```
Utilisez un ssh client avec le principal que vous avez créé dans le nom d'utilisateur dédié au cluster KDC ou Active Directory. Assurez-vous que GSSAPI l'authentification est activée comme indiqué dans les exemples suivants.

Exemple : utilisateurs Linux

L'-K option spécifie GSSAPI l'authentification.
```
ssh -K user1@MasterPublicDNS
```
Exemple : utilisateurs de Windows (PuTTY)

Assurez-vous que l'option GSSAPI d'authentification pour la session est activée comme indiqué :

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configuration d'un EMR cluster Amazon pour les utilisateurs et les connexions authentifiés par Kerberos HDFS SSH

Tutoriel : dédié aux clusters KDC