既存の Amazon EMR クラスターの領域間信頼プリンシパルのパスワードを更新するにはどうすればよいですか?

所要時間1分

Kerberos 認証済みの Amazon EMR クラスターの Active Directory ドメインで領域間信頼をセットアップしました。プリンシパルのパスワードを変更する必要があります。

解決方法

Amazon EMR は、クラスターの起動時に指定した領域間信頼プリンシパルパスワードを使用して krbtgt プリンシパルを作成します。このプリンシパルは、マスターノードのキー配布センター (KDC) に保存されます。以下のように表示されます。

krbtgt/ADTrustRealm@KerberosRealm

領域間信頼プリンシパルパスワードを更新するには

2. kadmin.local ツールを開きます。

sudo kadmin.local

3. すべてのプリンシパルを一覧表示して、更新するプリンシパル (krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM など) を検索します。

list_principals

4. 次のコマンドを実行して、領域間信頼プリンシパルのパスワードを更新します。次の例では、krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM をプリンシパルに置き換えます。

change_password krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM

5. kadmin.local ツールを終了します。

exit

6. 新しいパスワードが機能することを確認するには、Active Directory ユーザーの Kerberos チケットを取得し、HDFS ファイルを一覧表示します。例:

kinit myaduser@MYADDOMAIN.COM
hdfs dfs -ls /tmp