既存の Amazon EMR クラスターの領域間信頼プリンシパルのパスワードを更新するにはどうすればよいですか?

最終更新日: 2022 年 1 月 26 日

Kerberos 認証済みの Amazon EMR クラスターの Active Directory ドメインで領域間信頼をセットアップしました。プリンシパルのパスワードを変更する必要があります。

解決方法

Amazon EMR は、クラスターの起動時に指定した領域間信頼プリンシパルパスワードを使用して krbtgt プリンシパルを作成します。このプリンシパルは、マスターノードのキー配布センター (KDC) に保存されます。以下のように表示されます。

krbtgt/ADTrustRealm@KerberosRealm

領域間信頼プリンシパルパスワードを更新するには

1.    SSH を使用してマスターノードに接続します

2.    kadmin.local ツールを開きます。

sudo kadmin.local

3.    すべてのプリンシパルを一覧表示して、更新するプリンシパル (krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM など) を検索します。

list_principals

4.    次のコマンドを実行して、領域間信頼プリンシパルのパスワードを更新します。次の例では、krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM をプリンシパルに置き換えます。

change_password krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM

5.    kadmin.local ツールを終了します。

exit

6.    新しいパスワードが機能することを確認するには、Active Directory ユーザーの Kerberos チケットを取得し、HDFS ファイルを一覧表示します。例:

kinit myaduser@MYADDOMAIN.COM
hdfs dfs -ls /tmp

Tutorial: Configure a cross-realm trust with an Active Directory domain

Cross-realm trust

Amazon EMR 認証に使用している期限切れの Kerberos チケットを更新するにはどうすればよいですか?

この記事はお役に立ちましたか?

フィードバックを送信

請求に関するサポートまたは技術サポートが必要ですか?

AWS Support へのお問い合わせ