기존 Amazon EMR 클러스터의 교차 영역 신뢰 보안 주체 암호를 업데이트하려면 어떻게 해야 합니까?
최종 업데이트 날짜: 2022년 1월 26일
Kerberos 인증을 사용하는 Amazon EMR 클러스터에서 Active Directory 도메인과의 교차 영역 신뢰를 설정했습니다. 보안 주체 암호를 변경해야 합니다.
해결 방법
Amazon EMR은 클러스터 시작 시 지정한 교차 영역 신뢰 보안 주체 암호를 사용하여 krbtgt 보안 주체를 생성합니다. 이 보안 주체는 마스터 노드의 키 배포 센터(KDC)에 저장됩니다. 이는 다음과 같이 나타납니다.
krbtgt/ADTrustRealm@KerberosRealm
sudo kadmin.local
3. 모든 보안 주체를 나열하여 업데이트할 보안 주체를 찾습니다(예: krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM).
list_principals
4. 다음 명령을 실행하여 교차 영역 신뢰 보안 주체에 대한 암호를 업데이트합니다. 다음 예에서는 krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM을 보안 주체로 바꿉니다.
change_password krbtgt/MYADDOMAIN.COM@MYEMRDOMAIN.COM
5. kadmin.local 도구를 종료합니다.
exit
6. 새 암호가 작동하는지 확인하려면 Active Directory 사용자에 대한 Kerberos 티켓을 획득하고 HDFS 파일을 나열합니다. 예:
kinit myaduser@MYADDOMAIN.COM
hdfs dfs -ls /tmp