기존 Amazon EMR 클러스터의 교차 영역 신뢰 보안 주체 암호를 업데이트하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2020년 3월 4일

Kerberos 인증을 사용하는 Amazon EMR 클러스터에서 Active Directory 도메인과의 교차 영역 신뢰를 설정했습니다. 보안 주체 암호를 변경해야 합니다. 어떻게 해야 합니까?

​해결 방법

Amazon EMR은 클러스터 시작 시 지정한 교차 영역 신뢰 보안 주체 암호를 사용하여 krbtgt 보안 주체를 생성합니다. 이 보안 주체는 마스터 노드의 키 배포 센터(KDC)에 저장됩니다. 이는 다음과 같이 나타납니다. 

krbtgt/ADTrustRealm@KerberosRealm

교차 영역 신뢰 보안 주체 암호를 업데이트하려면 다음과 같이 하십시오.

1.    SSH를 사용하여 마스터 노드에 연결합니다.

2.    kadmin.local 도구를 엽니다.

sudo kadmin.local

3.    모든 보안 주체를 나열하여 업데이트할 보안 주체를 찾습니다(예: krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM).

list_principals

4.    다음 명령을 실행하여 교차 영역 신뢰 보안 주체에 대한 암호를 업데이트합니다. 다음 예에서는 krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM을 보안 주체로 바꿉니다.

change_password krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM

5.    kadmin.local 도구를 종료합니다.

exit

6.    새 암호가 작동하는지 확인하려면 Active Directory 사용자에 대한 Kerberos 티켓을 획득하고 HDFS 파일을 나열합니다. 예:

kinit myaduser@MYADDOMAIN.COM
hdfs dfs -ls /tmp

자습서: Active Directory 도메인을 사용하여 교차 영역 신뢰 구성

교차 영역 신뢰

Amazon EMR 인증에 사용하다 만료된 Kerberos 티켓을 갱신하려면 어떻게 해야 합니까?

이 문서가 도움이 되었습니까?

아니요

AWS에서 개선해야 할 부분이 있습니까?

알려주십시오.

도움이 필요하십니까?

AWS Support에 문의하십시오.