Quiero renovar un ticket de Kerberos caducado que uso para la autenticación de Amazon EMR.
Resolución
Para renovar un ticket de Kerberos caducado, sigue estos pasos:
-
Para conectarte al nodo principal de Amazon EMR, utiliza SSH.
-
Para confirmar que el ticket de Kerberos ha caducado, ejecuta el comando klist. Si no hay ninguna credencial almacenada en la caché, el ticket ha caducado.
[hadoop@ip-xxx-x-x-xxx ~]$ klist
klist: No credentials cache found (filename: /tmp/krb5cc_498)
-
Para confirmar el nombre de la entidad principal de Kerberos, enumera el contenido del archivo keytab:
[hadoop@ip-xxx-x-x-xxx ~]$ klist -kt /etc/hadoop.keytab
Keytab name: FILE:/etc/hadoop.keytab
KVNO Timestamp Principal
---- ------------------- ------------------------------------------------------
2 07/04/2019 21:48:46 hadoop/ip-xxx-x-x-xxx.ec2.internal@EC2.INTERNAL
2 07/04/2019 21:48:46 hadoop/ip-xxx-x-x-xxx.ec2.internal@EC2.INTERNAL
2 07/04/2019 21:48:46 hadoop/ip-xxx-x-x-xxx.ec2.internal@EC2.INTERNAL
-
Para renovar el ticket de Kerberos, ejecuta kinit. Especifica el archivo keytab y la entidad principal:
[hadoop@ip-xxx-x-x-xxx ~]$ kinit -kt /etc/hadoop.keytab hadoop/ip-xxx-x-x-xxx.ec2.internal@EC2.INTERNAL
-
Confirma que las credenciales estén almacenadas en la caché:
[hadoop@ip-xxx-x-x-xxx ~]$ klist
Ticket cache: FILE:/tmp/krb5cc_498
Default principal: hadoop/ip-xxx-x-x-xxx.ec2.internal@EC2.INTERNAL
Valid starting Expires Service principal
11/04/2019 22:13:47 11/05/2019 08:13:47 krbtgt/EC2.INTERNAL@EC2.INTERNAL
renew until 11/06/2019 22:13:47
-
Para confirmar que el ticket de Kerberos funciona, ejecuta un comando de HDFS:
[hadoop@ip-XXX-XX-XX-XXX ~]$ hdfs dfs -ls /
Found 4 items
drwxr-xr-x - hdfs hadoop 0 2019-11-05 22:45 /apps
drwxrwxrwt - hdfs hadoop 0 2019-11-05 22:46 /tmp
drwxr-xr-x - hdfs hadoop 0 2019-11-05 22:45 /user
drwxr-xr-x - hdfs hadoop 0 2019-11-05 22:45 /var
Información relacionada
Uso de Kerberos para la autenticación con Amazon EMR