Topik ini menjelaskan file konfigurasi Kerberos serta cara menggunakan alat yang disediakan oleh server Pusat Distribusi Kunci (KDC) untuk mengelola principal dan keytab di server. Topik ini juga mencakup cara menjalankan perintah pada klien untuk mengelola tiket.
Prasyarat
Sebuah kluster dengan autentikasi Kerberos diaktifkan telah dibuat. Untuk informasi lebih lanjut, lihat Buat sebuah kluster.
Anda telah masuk ke kluster. Untuk informasi lebih lanjut, lihat Masuk ke sebuah kluster.
File konfigurasi
krb5.conf: File konfigurasi Kerberos di sisi klien.
File krb5.conf digunakan untuk mengonfigurasi berbagai pengaturan, seperti lokasi server KDC, nama realm, dan pemetaan dari nama host ke realm. File ini disimpan di direktori /etc/krb5.conf pada setiap node E-MapReduce (EMR).
kdc.conf: File konfigurasi Kerberos di sisi server.
File kdc.conf digunakan untuk mengonfigurasi layanan terkait KDC, seperti krb5kdc, kadmind, dan kdb5_util. File ini disimpan di direktori /var/kerberos/krb5kdc/kdc.conf pada node EMR tempat server KDC berada.
Anda tidak dapat langsung memodifikasi file krb5.conf atau kdc.conf pada node EMR. Untuk memodifikasi pengaturan dalam kedua file tersebut, masuk ke konsol EMR dan buka tab Configure halaman layanan Kerberos. Hanya beberapa pengaturan yang dapat dimodifikasi.
Operasi dasar
Operasi sisi server
Buka CLI kadmin
Jika Anda masuk ke node master-1-1 tempat server KDC berada sebagai pengguna root, jalankan perintah berikut untuk membuka CLI kadmin.local:
kadmin.localJika Anda masuk ke node selain master-1-1 atau menggunakan gateway, jalankan perintah berikut untuk membuka CLI kadmin. Ganti <admin-user> dan <admin-password> dengan nilai sebenarnya.
kadmin -p <admin-user> -w <admin-password>CatatanJika Anda menggunakan server KDC yang disediakan oleh EMR, konfigurasikan parameter dalam perintah sebelumnya berdasarkan instruksi berikut:
<admin-user>: Atur nilainya menjadiroot/admin.<admin-password>: Untuk mendapatkan kata sandi akun admin, masuk ke konsol EMR, buka tab Configure halaman layanan Kerberos, lalu salin nilai parameter admin_pwd.
Kelola Principal
Principal adalah identitas unik dalam sistem Kerberos yang dapat diberi Tiket oleh Kerberos.
Buat Principal
addprinc -pw <principal-password> <principal-name>Parameter dalam perintah sebelumnya:
<principal-password>: Kata sandi principal.<principal-name>: Nama principal. Jika principal mewakili layanan, nama principal dalam format xxx/hostname@realm. Jika principal mewakili pengguna, nama principal dalam format username@realm.
Hapus Principal
delprinc <principal-name>Ubah Kata Sandi Principal
change_password <principal-name>Lihat Semua Principal
listprincs
Kelola Keytab
Keytab menyimpan kunci satu atau lebih principal. Anda dapat menggunakan kunci untuk mendapatkan tiket. Untuk mengekspor file keytab, jalankan perintah berikut:
ktadd -k <keytab-path> <principal-name>Parameter dalam perintah sebelumnya:
<keytab-path>: Jalur penyimpanan file keytab.<principal-name>: Nama principal.
PeringatanSetiap layanan dalam kluster EMR mempertahankan principalnya sendiri, seperti spark/hostname@realm, dan file keytab terkait untuk otentikasi dan otorisasi dalam layanan. Jika Anda memodifikasi atau mengekspor file keytab terkait dengan jenis principal ini, file keytab asli akan menjadi tidak valid, yang memengaruhi operasi normal layanan. Oleh karena itu, jangan modifikasi jenis principal ini dan nonaktifkan ekspor file keytab terkait.
Operasi sisi klien
Tiket adalah bagian penting dari sistem Kerberos. Tiket adalah kredensial yang digunakan untuk otentikasi. Anda dapat menjalankan perintah berikut untuk mengelola satu atau lebih tiket:
Buat Tiket
kinit -kt <keytab-path> <principal-name>Lihat Semua Tiket
klistHapus Semua Tiket
kdestroy
Referensi
Untuk informasi lebih lanjut tentang Kerberos dan cara Kerberos bekerja, lihat Ikhtisar.