Kerberos 인증을 사용하는 Amazon EMR 클러스터에서 Active Directory 도메인과의 교차 영역 신뢰를 설정했습니다. 보안 주체 암호를 변경해야 합니다.
해결 방법
Amazon EMR은 클러스터 시작 시 지정한 교차 영역 신뢰 보안 주체 암호를 사용하여 krbtgt 보안 주체를 생성합니다. 이 보안 주체는 마스터 노드의 키 배포 센터(KDC)에 저장됩니다. 이는 다음과 같이 나타납니다.
krbtgt/ADTrustRealm@KerberosRealm
교차 영역 신뢰 보안 주체 암호를 업데이트하려면 다음과 같이 하십시오.
1. SSH를 사용하여 마스터 노드에 연결합니다.
2. kadmin.local 도구를 엽니다.
sudo kadmin.local
3. 모든 보안 주체를 나열하여 업데이트할 보안 주체를 찾습니다(예: krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM).
list_principals
4. 다음 명령을 실행하여 교차 영역 신뢰 보안 주체에 대한 암호를 업데이트합니다. 다음 예에서는 krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM을 보안 주체로 바꿉니다.
change_password krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM
5. kadmin.local 도구를 종료합니다.
exit
6. 새 암호가 작동하는지 확인하려면 Active Directory 사용자에 대한 Kerberos 티켓을 획득하고 HDFS 파일을 나열합니다. 예:
kinit myaduser@MYADDOMAIN.COM
hdfs dfs -ls /tmp
관련 정보
자습서: Active Directory 도메인을 사용하여 교차 영역 신뢰 구성
교차 영역 신뢰
Amazon EMR 인증에 사용하고 있는 만료된 Kerberos 티켓을 갱신하려면 어떻게 해야 합니까?