J'ai configuré une relation d'approbation inter-domaines avec un domaine Active Directory sur un cluster Amazon EMR activé pour Kerberos. Je dois modifier le mot de passe du principal.
Solution
Amazon EMR crée un mandataire krbtgt à l'aide du mot de passe du mandataire d'approbation inter-domaines que vous spécifiez lors du lancement du cluster. Ce mandataire est stocké dans le centre de distribution de clés (KDC) sur le nœud maître. Il est similaire à ce qui suit :
krbtgt/ADTrustRealm@KerberosRealm
Pour mettre à jour le mot de passe du mandataire d'approbation inter-domaines :
1. Connectez-vous au nœud maître en utilisant SSH.
2. Ouvrez l'outil kadmin.local :
sudo kadmin.local
3. Répertoriez tous les mandataires pour trouver le mandataire que vous souhaitez mettre à jour (par exemple, krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM) :
list_principals
4. Exécutez la commande suivante pour mettre à jour le mot de passe du mandataire d'approbation inter-domaines. Dans l'exemple suivant, remplacez krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM par votre mandataire.
change_password krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM
5. Quittez l'outil kadmin.local :
exit
6. Pour confirmer que le nouveau mot de passe fonctionne, obtenez un ticket Kerberos pour un utilisateur Active Directory, puis répertoriez les fichiers HDFS. Exemple :
kinit myaduser@MYADDOMAIN.COM
hdfs dfs -ls /tmp
Informations connexes
Didacticiel : configuration d'une approbation inter-domaines avec un domaine Active Directory
Approbation inter-domaines
Comment renouveler un ticket Kerberos expiré que j'utilise pour l'authentification Amazon EMR ?