既存の Amazon EMR クラスターの領域間信頼プリンシパルパスワードを更新する方法を教えてください。

最終更新日: 2020 年 3 月 4 日

Kerberos 認証済みの Amazon EMR クラスターの Active Directory ドメインで領域間信頼をセットアップしました。プリンシパルパスワードを変更する必要があります。どうすればよいですか?

解決方法

Amazon EMR は、クラスターの起動時に指定した領域間信頼プリンシパルパスワードを使用して krbtgt プリンシパルを作成します。このプリンシパルは、マスターノードのキー配布センター (KDC) に保存されます。以下のように表示されます。

krbtgt/ADTrustRealm@KerberosRealm

領域間信頼プリンシパルパスワードを更新するには

1.    SSH を使用してマスターノードに接続します

2.    kadmin.local ツールを開きます。

sudo kadmin.local

3.    すべてのプリンシパルを一覧表示して、更新するプリンシパル (krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM など) を検索します。

list_principals

4.    次のコマンドを実行して、領域間信頼プリンシパルのパスワードを更新します。次の例では、krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM をプリンシパルに置き換えます。

change_password krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM

5.    kadmin.local ツールを終了します。

exit

6.    新しいパスワードが機能することを確認するには、Active Directory ユーザーの Kerberos チケットを取得し、HDFS ファイルを一覧表示します。例:

kinit myaduser@MYADDOMAIN.COM
hdfs dfs -ls /tmp