


解決方法
-----------



Amazon EMR 使用您在叢集啟動時指定的跨領域信任主體密碼來建立 **krbtgt** 主體。此主體儲存在主節點的金鑰分發中心 (KDC)。如下所示：





```plaintext
krbtgt/ADTrustRealm@KerberosRealm
```



更新跨領域信任主體密碼：


1.    [使用 SSH 連線至主節點](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-kerberos-connect-ssh.html#emr-kerberos-kinit-ssh)。


2.    開啟 kadmin.local 工具：





```plaintext
sudo kadmin.local
```



3.    列出所有主體以尋找您要更新的主體 (例如，krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM)：





```plaintext
list_principals
```



4.    執行下列命令，以更新跨領域信任主體的密碼。在下列範例中，請以您的主體替換 krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM。





```plaintext
change_password krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM
```



5.    結束 kadmin.local 工具：





```plaintext
exit
```



6.    要確認新密碼有效，獲取 Active Directory 使用者的 Kerberos 票證，然後列出 HDFS 檔案。範例：





```plaintext
kinit myaduser@MYADDOMAIN.COM
hdfs dfs -ls /tmp
```




---




相關資訊
--------------------



[教學： 使用 Active Directory 網域設定跨領域信任](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-kerberos-cross-realm.html)


[跨領域信任](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-kerberos-options.html#emr-kerberos-crossrealm-summary)


[如何更新我用於 Amazon EMR 身分驗證的過期 Kerberos 票證？](https://repost.aws/zh-Hant/knowledge-center/kerberos-expired-ticket-emr)







我使用 Active Directory 在 Kerberized Amazon EMR 叢集上設定跨領域信任。我需要變更主要密碼。

變更 Amazon EMR 叢集的跨領域信任主要密碼

如何更新現有 Amazon EMR 叢集的跨領域信任主要密碼？

分析

如何續約我用於 Amazon EMR 驗證的過期 Kerberos 票證？

我在建立 Amazon EMR 叢集時為什麼會收到「EMR_DefaultRole 無效」或「EMR_EC2_DefaultRole 無效」錯誤？

如何更新現有 Amazon EMR 叢集的跨領域信任主要密碼？

解決方法

相關資訊

相關內容