我在 Kerberized Amazon EMR 集群上使用 Active Directory 域设置了跨领域信任。我需要更改主体密码。
解决方法
Amazon EMR 使用您在集群启动时指定的跨领域信任委托人密码创建 krbtgt 委托人。该委托人存储在主节点上的密钥分发中心 (KDC)。它将如下所示:
krbtgt/ADTrustRealm@KerberosRealm
要更新跨领域信任委托人密码,请执行以下操作:
1. 使用 SSH 连接到主节点。
2. 打开 kadmin.local 工具:
sudo kadmin.local
3. 列出所有委托人并找到要更新的委托人(例如 krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM):
list_principals
4. 运行以下命令来更新跨域信任委托人密码。在以下示例中,将 krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM 替换为您的委托人。
change_password krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM
5. 退出 kadmin.local 工具:
exit
6. 要确认新密码是否有效,请获取 Active Directory 用户的 Kerberos 票证,然后列出 HDFS 文件。例如:
kinit myaduser@MYADDOMAIN.COM
hdfs dfs -ls /tmp
相关信息
教程:配置与 Active Directory 域的跨领域信任
跨领域信任
如何续订用于 Amazon EMR 身份验证的已过期 Kerberos 票证?