EMR-3.43.1及後續版本,EMR-5.9.1及後續版本的E-MapReduce(簡稱EMR)叢集支援在建立叢集時對接您外部自建的KDC(Key Distribution Center)。這意味著當您在EMR叢集中使用Kerberos身分識別驗證時,您可以選擇使用由叢集建立的KDC,也可以選擇使用外部KDC來實現統一的身份管理和認證。
前提條件
已擷取正確的KDC的IP地址,Kadmin的IP地址以及Principal的名稱和密碼。
請確保擷取的內容正確,否則在對接過程中會出現錯誤。
使用限制
外部KDC必須建立在MIT Kerberos的基礎上。
注意事項
需要確保EMR叢集與自建外部KDC間網路和連接埠的連通性。例如,TCP 88連接埠、749連接埠和UDP 88連接埠。
操作步驟
建立叢集的具體操作,請參見建立叢集。
在建立叢集的軟體配置階段,開啟進階設定地區的Kerberos身份認證開關。
單擊外部KDC。
預設是本群自建KDC,即當前叢集為您建立KDC。使用您外部自建的KDC,需要填寫以下資訊。
參數
描述
KDC Hosts
KDC的IP地址和連接埠。
多個IP地址時,可以使用英文逗號(,)隔開。例如,192.168.**.**:88,192.168.**.**:88。
重要確保EMR叢集與KDC地址及連接埠的連通性。
Realm Name
KDC Realm名稱。
Kadmin Hosts
Kadmin服務的IP地址和連接埠。
多個IP地址時,可以使用英文逗號(,)隔開。例如,192.168.**.**:749,192.168.**.**:749。
重要確保EMR叢集對Kadmin服務地址及連接埠的連通性。
Admin Principal
用於串連Kadmin服務的Principal名稱。
確保該Principal具有admin許可權,能夠建立Principal和匯出keytab檔案。
設定Admin密碼
用於串連Kadmin服務的Principal對應的密碼。
確認密碼