如何为现有 Amazon EMR 集群更新跨领域信任委托人密码?

上次更新时间:2020 年 3 月 4 日

我在 Kerberized Amazon EMR 集群上使用 Active Directory 域设置了跨领域信任。我需要更改委托人密码。该如何操作?

解决方法

Amazon EMR 使用您在集群启动时指定的跨领域信任委托人密码创建 krbtgt 委托人。该委托人存储在主节点上的密钥分发中心 (KDC)。它将如下所示:

krbtgt/ADTrustRealm@KerberosRealm

要更新跨领域信任委托人密码,请执行以下操作:

1.    使用 SSH 连接到主节点

2.    打开 kadmin.local 工具:

sudo kadmin.local

3.    列出所有委托人并找到要更新的委托人(例如 krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM):

list_principals

4.    运行以下命令来更新跨域信任委托人密码。在以下示例中,将 krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM 替换为您的委托人。

change_password krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM

5.    退出 kadmin.local 工具:

exit

6.    要确认新密码是否有效,请获取 Active Directory 用户的 Kerberos 票证,然后列出 HDFS 文件。示例:

kinit myaduser@MYADDOMAIN.COM
hdfs dfs -ls /tmp