Comment mettre à jour le mot de passe du mandataire d'approbation inter-domaines pour un cluster Amazon EMR existant ?

Date de la dernière mise à jour : 04/03/2020

J'ai configuré une relation d'approbation inter-domaines avec un domaine Active Directory sur un cluster Amazon EMR activé pour Kerberos. Je dois modifier le mot de passe du mandataire. Comment procéder ?

Solution

Amazon EMR crée un mandataire krbtgt à l'aide du mot de passe du mandataire d'approbation inter-domaines que vous spécifiez lors du lancement du cluster. Ce mandataire est stocké dans le centre de distribution de clés (KDC) sur le nœud maître. Il est similaire à ce qui suit :

krbtgt/ADTrustRealm@KerberosRealm

Pour mettre à jour le mot de passe du mandataire d'approbation inter-domaines :

1.    Connectez-vous au nœud maître en utilisant SSH.

2.    Ouvrez l'outil kadmin.local :

sudo kadmin.local

3.    Répertoriez tous les mandataires pour trouver le mandataire que vous souhaitez mettre à jour (par exemple, krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM) :

list_principals

4.    Exécutez la commande suivante pour mettre à jour le mot de passe du mandataire d'approbation inter-domaines. Dans l'exemple suivant, remplacez krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM par votre mandataire.

change_password krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM

5.    Quittez l'outil kadmin.local :

exit

6.    Pour confirmer que le nouveau mot de passe fonctionne, obtenez un ticket Kerberos pour un utilisateur Active Directory, puis répertoriez les fichiers HDFS. Exemple :

kinit myaduser@MYADDOMAIN.COM
hdfs dfs -ls /tmp