Utilizzo di SSH per connettersi a cluster kerberizzati con Amazon EMR - Amazon EMR
Prerequisito per krb5.conf (non Active Directory)Utilizzo di Kinit e SSH

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di SSH per connettersi a cluster kerberizzati con Amazon EMR

Questa sezione mostra la procedura per la connessione di un utente autenticato su Kerberos al nodo primario di un cluster EMR.

Ogni computer usato per una connessione SSH deve avere installati un client SSH e applicazioni client Kerberos. Con ogni probabilità nei computer Linux sono inclusi per impostazione predefinita. Ad esempio, OpenSSH è installato nella maggior parte dei sistemi operativi Linux, Unix e macOS. È possibile verificare la presenza di un client SSH digitando ssh nella riga di comando. Se il computer non riconosce il comando, installa un client SSH per la connessione al nodo primario. Il progetto OpenSSH fornisce un'implementazione gratuita della suite completa di strumenti SSH. Per ulteriori informazioni, consulta il sito Web OpenSSH. Gli utenti di Windows possono utilizzare applicazioni come PuTTY come client SSH.

Per ulteriori informazioni sulle connessioni SSH, vedi Connettiti a un cluster Amazon EMR.

SSH usa GSSAPI per autenticare i client Kerberos ed è necessario abilitare l'autenticazione GSSAPI per il servizio SSH nel nodo primario del cluster. Per ulteriori informazioni, consulta Abilitazione di GSSAPI per SSH. Anche i client SSH devono utilizzare GSSAPI.

Negli esempi seguenti, per MasterPublicDNS utilizzare il valore visualizzato per Master public DNS nella scheda Riepilogo del riquadro dei dettagli del cluster, ad esempio. ec2-11-222-33-44.compute-1.amazonaws.com

Prerequisito per krb5.conf (non Active Directory)

Quando si utilizza una configurazione senza l'integrazione di Active Directory, oltre al client SSH e alle applicazioni client Kerberos, ogni computer client deve disporre di una copia del file /etc/krb5.conf corrispondente al file /etc/krb5.conf sul nodo primario del cluster.

Per copiare il file krb5.conf

  1. Usa SSH per connetterti al nodo primario utilizzando una EC2 key pair e l'hadooputente predefinito, ad esempio. hadoop@MasterPublicDNS Per istruzioni dettagliate, vedi Connettiti a un cluster Amazon EMR.

  2. Dal nodo primario, copia i contenuti del file /etc/krb5.conf. Per ulteriori informazioni, consulta Connettiti a un cluster Amazon EMR.

  3. Su ogni computer client utilizzato per la connessione al cluster, creare un file /etc/krb5.conf identico basato sulla copia creata nella fase precedente.

Utilizzo di Kinit e SSH

Ogni volta che si connette da un computer client con credenziali di Kerberos, l'utente deve prima rinnovare i ticket Kerberos per il proprio utente sul computer client. Inoltre, il client SSH deve essere configurato per utilizzare l'autenticazione GSSAPI.

Per utilizzare SSH per la connessione a un cluster EMR con Kerberos

  1. Utilizzare kinit rinnovare i ticket Kerberos come nell'esempio seguente

    kinit user1

  2. Utilizzare un client ssh insieme al principale creato nel KDC dedicato al cluster o al nome utente di Active Directory. Assicurarsi che l'autenticazione GSSAPI sia abilitata come illustrato negli esempi seguenti.

    Esempio: utenti Linux

    L'opzione -K specifica l'autenticazione GSSAPI.

    ssh -K user1@MasterPublicDNS

    Esempio: utenti Windows (PuTTY)

    Assicurarsi che l'opzione di autenticazione GSSAPI per la sessione sia abilitata come illustrato:

    PuTTY Configuration window showing GSSAPI authentication options and library preferences.