本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Amazon EMR 上的 Kerberos 安全組態和叢集設定 當您建立 Kerberos 化叢集時,便指定安全組態以及專屬於叢集的 Kerberos 屬性。您不能指定其中一組而不指定另一組,否則會發生錯誤。 本主題提供當您建立安全組態和叢集時,可用於 Kerberos 的組態參數概觀。此外,也為常見架構提供建立相容安全組態和叢集的 CLI 範例。 ## 安全組態的 Kerberos 設定 您可以使用 Amazon EMR 主控台 AWS CLI、 或 EMR API 建立指定 Kerberos 屬性的安全組態。安全組態也可以包含其他安全性選項,例如加密。如需詳細資訊,請參閱[使用 Amazon EMR 主控台或使用 建立安全組態 AWS CLI](emr-create-security-configuration.md)。 使用下列參考以了解您所選 Kerberos 架構的可用安全組態設定。顯示了 Amazon EMR 主控台設定。如需對應的 CLI 選項,請參閱 [使用 指定 Kerberos 設定 AWS CLI](emr-create-security-configuration.md#emr-kerberos-cli-parameters) 或 [組態範例](emr-kerberos-config-examples.md)。
參數說明
**Kerberos**指定已為使用此安全組態的叢集啟用 Kerberos。如果叢集使用此安全組態,叢集也必須指定 Kerberos 設定,否則會發生錯誤。
**供應商****叢集專用 KDC**指定 Amazon EMR 在使用此安全組態之任何叢集的主節點上建立 KDC。您可以在建立叢集時指定領域名稱和 KDC 管理員密碼。
必要時,您可以從其他叢集參考此 KDC。使用不同的安全組態建立這些叢集,指定外部 KDC,並使用您為叢集專用 KDC 指定的領域名稱和 KDC 管理員密碼。
**外部 KDC**僅適用於 Amazon EMR 5.20.0 及更新版本。指定使用此安全組態的叢集透過叢集外部的 KDC 伺服器來驗證 Kerberos 主體。系統不會在叢集上建立 KDC。在建立叢集時,為外部 KDC 指定領域名稱和 KDC 管理員密碼。
**票證生命週期**選用。指定 KDC 發行的 Kerberos 票證在使用此安全組態的叢集上有效的期間。
出於安全原因,票證生命週期是有限的。叢集應用程式和服務會在到期後自動續約票證。使用 Kerberos 憑證透過 SSH 連接至叢集的使用者需要從主節點命令列執行 `kinit`,才能在票證到期後續約。
**跨領域信任**指定叢集上使用此安全組態的叢集專用 KDC 與不同 Kerberos 領域中的 KDC 之間的跨領域信任。
來自其他領域的主體 (通常是使用者) 會對使用此組態的叢集進行身分驗證。需要其他 Kerberos 領域中的其他組態。如需詳細資訊,請參閱[教學課程:使用 Active Directory 域設定跨領域信任](emr-kerberos-cross-realm.md)。
跨領域信任屬性 **領域**指定信任關係中另一個領域的 Kerberos 領域名稱。根據慣例,Kerberos 領域名稱與域名稱相同,但都是大寫字母。
**網域**指定信任關係中另一個領域的域名稱。
**管理伺服器**指定信任關係另一個領域中管理伺服器的完整域名稱 (FQDN) 或 IP 地址。管理伺服器和 KDC 伺服器通常在具有相同 FQDN 的相同機器上執行,但在不同的連接埠上進行通訊。
如果未指定連接埠,則會使用連接埠 749 (Kerberos 預設值)。或者,您可以指定連接埠 (例如 `domain.example.com{{:749}}`)。
**KDC 伺服器**指定信任關係另一個領域中 KDC 伺服器的完整域名稱 (FQDN) 或 IP 地址。KDC 伺服器和管理伺服器通常在具有相同 FQDN 的相同機器上執行,但使用不同的連接埠。
如果未指定連接埠,則會使用連接埠 88,這是 Kerberos 預設值。或者,您可以指定連接埠 (例如 `domain.example.com{{:88}}`)。
**外部 KDC**指定叢集使用叢集外部 KDC。
外部 KDC 屬性**管理伺服器**指定外部管理伺服器的完整域名稱 (FQDN) 或 IP 地址。管理伺服器和 KDC 伺服器通常在具有相同 FQDN 的相同機器上執行,但在不同的連接埠上進行通訊。
如果未指定連接埠,則會使用連接埠 749 (Kerberos 預設值)。或者,您可以指定連接埠 (例如 `domain.example.com{{:749}}`)。
**KDC 伺服器**指定外部 KDC 伺服器的完整域名稱 (FQDN)。KDC 伺服器和管理伺服器通常在具有相同 FQDN 的相同機器上執行,但使用不同的連接埠。
如果未指定連接埠,則會使用連接埠 88,這是 Kerberos 預設值。或者,您可以指定連接埠 (例如 `domain.example.com{{:88}}`)。
**Active Directory 整合**指定 Kerberos 主體驗證與 Microsoft Active Directory 域整合。
Active Directory 整合屬性**Active Directory 領域**指定 Active Directory 網域的 Kerberos 領域名稱。根據慣例,Kerberos 領域名稱通常與網域名稱相同,但都是大寫字母。
**Active Directory 網域**指定 Active Directory 域名稱。
**Active Directory 伺服器**指定 Microsoft Active Directory 網域控制器的完整網域名稱 (FQDN)。
## 叢集的 Kerberos 設定 您可以在使用 Amazon EMR 主控台 AWS CLI、 或 EMR API 建立叢集時指定 Kerberos 設定。 使用下列參考以了解您所選 Kerberos 架構的可用叢集組態設定。顯示了 Amazon EMR 主控台設定。如需對應的 CLI 選項,請參閱 [組態範例](emr-kerberos-config-examples.md)。 | 參數 | 說明 | | --- | --- | | 領域 | 叢集的 Kerberos 領域名稱。Kerberos 慣例是將此設定為與網域名稱相同,但採用大寫字母。例如,若為 `ec2.internal` 網域,則使用 `EC2.INTERNAL` 為領域名稱。 | | KDC 管理員密碼 | 用於 `kadmin` 或 `kadmin.local` 叢集中的密碼。這些是 Kerberos V5 管理系統的命令列界面,維護 Kerberos 主體、密碼政策、叢集的 keytab。 | | 跨域信任主體密碼 (選用) | 建立跨域信任時為必要。跨域主體密碼在各領域中必須毫無二致。使用高強度密碼。 | | Active Directory 網域參與使用者 (選用) | 在跨域信任使用 Active Directory 時為必要。這是 Active Directory 帳戶的使用者登入名稱,並具有將電腦加入域的許可。Amazon EMR 使用此身分,將叢集加入域。如需詳細資訊,請參閱[步驟 3:新增帳戶到 EMR 叢集的域](emr-kerberos-cross-realm.md#emr-kerberos-ad-users)。 | | Active Directory 網域參與密碼 (選用) | Active Directory 網域參與使用者的密碼。如需詳細資訊,請參閱[步驟 3:新增帳戶到 EMR 叢集的域](emr-kerberos-cross-realm.md#emr-kerberos-ad-users)。 |