기존 Amazon EMR 클러스터의 교차 영역 신뢰 보안 주체 암호를 업데이트하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2020년 3월 4일

Kerberos 인증을 사용하는 Amazon EMR 클러스터에서 Active Directory 도메인과의 교차 영역 신뢰를 설정했습니다. 보안 주체 암호를 변경해야 합니다. 어떻게 해야 합니까?

​해결 방법

Amazon EMR은 클러스터 시작 시 지정한 교차 영역 신뢰 보안 주체 암호를 사용하여 krbtgt 보안 주체를 생성합니다. 이 보안 주체는 마스터 노드의 키 배포 센터(KDC)에 저장됩니다. 이는 다음과 같이 나타납니다.

krbtgt/ADTrustRealm@KerberosRealm

교차 영역 신뢰 보안 주체 암호를 업데이트하려면 다음과 같이 하십시오.

1.    SSH를 사용하여 마스터 노드에 연결합니다.

2.    kadmin.local 도구를 엽니다.

sudo kadmin.local

3.    모든 보안 주체를 나열하여 업데이트할 보안 주체를 찾습니다(예: krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM).

list_principals

4.    다음 명령을 실행하여 교차 영역 신뢰 보안 주체에 대한 암호를 업데이트합니다. 다음 예에서는 krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM을 보안 주체로 바꿉니다.

change_password krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM

5.    kadmin.local 도구를 종료합니다.

exit

6.    새 암호가 작동하는지 확인하려면 Active Directory 사용자에 대한 Kerberos 티켓을 획득하고 HDFS 파일을 나열합니다. 예:

kinit myaduser@MYADDOMAIN.COM
hdfs dfs -ls /tmp