Kerberos 認証済みの Amazon EMR クラスターの Active Directory ドメインで領域間信頼をセットアップしました。プリンシパルのパスワードを変更する必要があります。
Amazon EMR は、クラスターの起動時に指定した領域間信頼プリンシパルパスワードを使用して krbtgt プリンシパルを作成します。このプリンシパルは、マスターノードのキー配布センター (KDC) に保存されます。以下のように表示されます。
krbtgt/ADTrustRealm@KerberosRealm
領域間信頼プリンシパルパスワードを更新するには
1. SSH を使用してマスターノードに接続します。
2. kadmin.local ツールを開きます。
sudo kadmin.local
3. すべてのプリンシパルを一覧表示して、更新するプリンシパル (krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM など) を検索します。
list_principals
4. 次のコマンドを実行して、領域間信頼プリンシパルのパスワードを更新します。次の例では、krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM をプリンシパルに置き換えます。
change_password krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM
5. kadmin.local ツールを終了します。
exit
6. 新しいパスワードが機能することを確認するには、Active Directory ユーザーの Kerberos チケットを取得し、HDFS ファイルを一覧表示します。例:
kinit myaduser@MYADDOMAIN.COM hdfs dfs -ls /tmp
Tutorial: Configure a cross-realm trust with an Active Directory domain
Cross-realm trust
Amazon EMR 認証に使用している期限切れの Kerberos チケットを更新するにはどうすればよいですか?