EMR对接外部KDC

EMR-3.43.1及后续版本,EMR-5.9.1及后续版本的E-MapReduce(简称EMR)集群支持在创建集群时对接您外部自建的KDC(Key Distribution Center)。这意味着当您在EMR集群中使用Kerberos身份验证时,您可以选择使用由集群创建的KDC,也可以选择使用外部KDC来实现统一的身份管理和认证。

前提条件

已获取正确的KDC的IP地址,Kadmin的IP地址以及Principal的名称和密码。

说明

请确保获取的内容正确,否则在对接过程中会出现错误。

使用限制

外部KDC必须建立在MIT Kerberos的基础上。

注意事项

需要确保EMR集群与自建外部KDC间网络和端口的连通性。例如,TCP 88端口、749端口和UDP 88端口。

操作步骤

创建集群的具体操作,请参见创建集群

  1. 在创建集群的软件配置阶段,打开高级设置区域的Kerberos身份认证开关。

  2. 单击外部KDC

    默认是本群自建KDC,即当前集群为您创建KDC。使用您外部自建的KDC,需要填写以下信息。

    参数

    描述

    KDC Hosts

    KDC的IP地址和端口。

    多个IP地址时,可以使用英文逗号(,)隔开。例如,192.168.**.**:88,192.168.**.**:88。

    重要

    确保EMR集群与KDC地址及端口的连通性。

    Realm Name

    KDC Realm名称。

    Kadmin Hosts

    Kadmin服务的IP地址和端口。

    多个IP地址时,可以使用英文逗号(,)隔开。例如,192.168.**.**:749,192.168.**.**:749。

    重要

    确保EMR集群对Kadmin服务地址及端口的连通性。

    Admin Principal

    用于连接Kadmin服务的Principal名称。

    确保该Principal具有admin权限,能够创建Principal和导出keytab文件。

    设置Admin密码

    用于连接Kadmin服务的Principal对应的密码。

    确认密码