Amazon EMR 인증에 사용하는 만료된 Kerberos 티켓을 갱신하려면 어떻게 해야 합니까?

해결 방법

만료된 Kerberos 티켓을 갱신하려면 다음 단계를 완료하십시오.

1. Amazon EMR 프라이머리 노드에 연결하려면 SSH를 사용합니다.

2. Kerberos 티켓이 만료되었는지 확인하려면 klist 명령을 실행합니다. 자격 증명이 캐시되지 않으면 티켓이 만료됩니다.

   [hadoop@ip-xxx-x-x-xxx ~]$ klist
   klist: No credentials cache found (filename: /tmp/krb5cc_498)

3. Kerberos 보안 주체 이름을 확인하려면 keytab 파일의 내용을 나열합니다.

   [hadoop@ip-xxx-x-x-xxx ~]$ klist -kt /etc/hadoop.keytab
   Keytab name: FILE:/etc/hadoop.keytab
   KVNO Timestamp           Principal
   ---- ------------------- ------------------------------------------------------
      2 07/04/2019 21:48:46 hadoop/ip-xxx-x-x-xxx.ec2.internal@EC2.INTERNAL
      2 07/04/2019 21:48:46 hadoop/ip-xxx-x-x-xxx.ec2.internal@EC2.INTERNAL
      2 07/04/2019 21:48:46 hadoop/ip-xxx-x-x-xxx.ec2.internal@EC2.INTERNAL

4. Kerberos 티켓을 갱신하려면 kinit를 실행합니다. keytab 파일과 보안 주체를 지정합니다.

   [hadoop@ip-xxx-x-x-xxx ~]$ kinit -kt /etc/hadoop.keytab hadoop/ip-xxx-x-x-xxx.ec2.internal@EC2.INTERNAL

5. 자격 증명이 캐시되었는지 확인합니다.

   [hadoop@ip-xxx-x-x-xxx ~]$ klist
   Ticket cache: FILE:/tmp/krb5cc_498
   Default principal: hadoop/ip-xxx-x-x-xxx.ec2.internal@EC2.INTERNAL
   Valid starting       Expires              Service principal
   11/04/2019 22:13:47  11/05/2019 08:13:47  krbtgt/EC2.INTERNAL@EC2.INTERNAL
   renew until 11/06/2019 22:13:47

6. Kerberos 티켓이 작동하는지 확인하려면 HDFS 명령을 실행합니다.

   [hadoop@ip-XXX-XX-XX-XXX ~]$ hdfs dfs -ls /
   Found 4 items
   drwxr-xr-x   - hdfs hadoop          0 2019-11-05 22:45 /apps
   drwxrwxrwt   - hdfs hadoop          0 2019-11-05 22:46 /tmp
   drwxr-xr-x   - hdfs hadoop          0 2019-11-05 22:45 /user
   drwxr-xr-x   - hdfs hadoop          0 2019-11-05 22:45 /var

관련 정보

Amazon EMR을 통한 인증에 Kerberos 사용