当前EMR-V3.8.0及以后的版本都支持Kerberos创建安全类型集群,集群内的开源组件以Kerberos安全模式启动。在EMR集群创建时支持使用集群内创建的KDC,也支持使用外部创建的KDC进行统一的身份管理和认证。
外部KDC所属Kerberos模式集群需通过EMR建立。
已获取正确的KDC的IP地址,Kadmin的IP地址以及Principal的名称和密码。
需要确保EMR集群与自建外部KDC间网络和端口的连通性。例如,TCP 88端口、749端口和UDP 88端口。
外置KDC集群的用户管理与KDC所在集群的用户管理不联通,KDC所在集群的用户用于Kerberos认证,建议两个集群的用户同步进行导入。
用户Keytab 下载只支持在KDC所属集群进行操作。
登录 EMR 控制台,点击创建集群。
在创建集群的软件配置阶段,打开高级设置区域的Kerberos认证开关。
KDC来源选择外部KDC。默认是本集群自建KDC,即当前集群为您创建KDC。使用您外部自建的KDC,需要填写以下信息。
| 参数 | 描述 |
|---|---|
KDC Hosts | KDC的IP地址和端口。多个IP地址时,可以使用英文逗号(,)隔开。例如,192.168.**.**:88,192.168.**.**:88。 |
| Realm Name | KDC Realm名称 |
KAdmin Hosts | Kadmin服务的IP地址和端口。多个IP地址时,可以使用英文逗号(,)隔开。例如,192.168.**.**:749,192.168.**.**:749。 |
Admin Principal | 用于连接Kadmin服务的Principal名称。 默认为root/admin |
| 设置Admin密码 | 管理员Principal对应的密码,默认为KDC所在集群的默认密码,在创建集群后在 Master 节点上的 /root/.emr/secret 文件中可以看。仅限root用户查看 |
| 确认密码 | 两次输入密码要保持一致 |