如何为现有 Amazon EMR 集群更新跨领域信任主体密码?

1 分钟阅读
0

我在 Kerberized Amazon EMR 集群上使用 Active Directory 域设置了跨领域信任。我需要更改主体密码。

解决方法

Amazon EMR 使用您在集群启动时指定的跨领域信任委托人密码创建 krbtgt 委托人。该委托人存储在主节点上的密钥分发中心 (KDC)。它将如下所示:

krbtgt/ADTrustRealm@KerberosRealm

要更新跨领域信任委托人密码,请执行以下操作:

1.    使用 SSH 连接到主节点

2.    打开 kadmin.local 工具:

sudo kadmin.local

3.    列出所有委托人并找到要更新的委托人(例如 krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM):

list_principals

4.    运行以下命令来更新跨域信任委托人密码。在以下示例中,将 krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM 替换为您的委托人。

change_password krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM

5.    退出 kadmin.local 工具:

exit

6.    要确认新密码是否有效,请获取 Active Directory 用户的 Kerberos 票证,然后列出 HDFS 文件。例如:

kinit myaduser@MYADDOMAIN.COM
hdfs dfs -ls /tmp

相关信息

教程:配置与 Active Directory 域的跨领域信任

跨领域信任

如何续订用于 Amazon EMR 身份验证的已过期 Kerberos 票证?

AWS 官方
AWS 官方已更新 3 年前