EMR-3.43.1及后续版本,EMR-5.9.1及后续版本的E-MapReduce(简称EMR)集群支持在创建集群时对接您外部自建的KDC(Key Distribution Center)。这意味着当您在EMR集群中使用Kerberos身份验证时,您可以选择使用由集群创建的KDC,也可以选择使用外部KDC来实现统一的身份管理和认证。
前提条件
已获取正确的KDC的IP地址,Kadmin的IP地址以及Principal的名称和密码。
请确保获取的内容正确,否则在对接过程中会出现错误。
使用限制
外部KDC必须建立在MIT Kerberos的基础上。
注意事项
需要确保EMR集群与自建外部KDC间网络和端口的连通性。例如,TCP 88端口、749端口和UDP 88端口。
操作步骤
创建集群的具体操作,请参见创建集群。
在创建集群的软件配置阶段,打开高级设置区域的Kerberos身份认证开关。
单击外部KDC。
默认是本群自建KDC,即当前集群为您创建KDC。使用您外部自建的KDC,需要填写以下信息。
参数
描述
KDC Hosts
KDC的IP地址和端口。
多个IP地址时,可以使用英文逗号(,)隔开。例如,192.168.**.**:88,192.168.**.**:88。
重要确保EMR集群与KDC地址及端口的连通性。
Realm Name
KDC Realm名称。
Kadmin Hosts
Kadmin服务的IP地址和端口。
多个IP地址时,可以使用英文逗号(,)隔开。例如,192.168.**.**:749,192.168.**.**:749。
重要确保EMR集群对Kadmin服务地址及端口的连通性。
Admin Principal
用于连接Kadmin服务的Principal名称。
确保该Principal具有admin权限,能够创建Principal和导出keytab文件。
设置Admin密码
用于连接Kadmin服务的Principal对应的密码。
确认密码