全部产品
Search

搜索本产品

    E-MapReduce:Kepercayaan bersama lintas realm

    文档中心

    E-MapReduce:Kepercayaan bersama lintas realm

    更新时间:Jun 24, 2025

    Topik ini menjelaskan cara mengimplementasikan kepercayaan bersama lintas realm untuk kluster Kerberos, yang memungkinkan akses antar kluster lintas realm.

    Prosedur

    Dalam topik ini, kepercayaan bersama lintas realm diimplementasikan untuk mewujudkan akses lintas realm dari kluster Cluster-A ke layanan kluster Cluster-B. Akses tersebut hanya dapat direalisasikan setelah kepercayaan bersama lintas realm diimplementasikan dan kluster Cluster-A memperoleh Tiket Pemberian Tiket (TGT) dari server Pusat Distribusi Kunci (KDC)-nya. Langkah-langkah berikut menggambarkan implementasi kepercayaan bersama lintas realm untuk akses satu arah. Untuk mewujudkan akses lintas realm dari kluster Cluster-B ke layanan kluster Cluster-A, tukar konfigurasi kedua kluster saat melaksanakan langkah-langkah ini:

    Langkah 1: Persiapan

    Pada tab Konfigurasi halaman layanan Kerberos di kluster Cluster-A, klik subtab krb5.conf dan peroleh nilai parameter kdc_hosts dan realm. Parameter ini menunjukkan nama host dan realm kluster. Ulangi operasi ini untuk kluster Cluster-B. Dalam topik ini, informasi berikut tentang nama host dan realm diperoleh:

    • Cluster-A:

      • Nama Host: master-1-1.1234.cn-hangzhou.emr.aliyuncs.com

      • Realm: EMR.1234.COM

    • Cluster-B:

      • Nama Host: master-1-1.6789.cn-hangzhou.emr.aliyuncs.com

      • Realm: EMR.6789.COM

    Langkah 2: Membuat Principal untuk otentikasi lintas realm

    1. Masuk ke node master-1-1 di kluster Cluster-A dalam mode SSH.

    2. Jalankan perintah berikut sebagai pengguna root untuk membuat Principal untuk otentikasi lintas realm untuk Cluster-A:

      kadmin.local -q "addprinc -pw 123456 krbtgt/EMR.6789.COM@EMR.1234.COM"

      Parameter dalam perintah:

      • 123456: kata sandi awal, yang dapat disesuaikan.

      • EMR.1234.COM: realm kluster Cluster-A.

      • EMR.6789.COM: realm kluster Cluster-B.

    3. Masuk ke node master-1-1 di kluster Cluster-B dan ulangi operasi sebelumnya untuk membuat Principal untuk otentikasi lintas realm untuk Cluster-B.

    Langkah 3: Memodifikasi file krb5.conf

    Sambungkan ke semua node dalam kluster Cluster-A secara berurutan dalam mode SSH, lalu modifikasi file /etc/krb5.conf pada setiap node. Setelah menyelesaikan modifikasi, Anda tidak perlu memulai ulang layanan.

    • other_realms

      EMR.C-BE49B6BBAEEA****.COM = {
  kdc = 192.168.xx.xx:88
  admin_server = 192.168.xx.xx:749
}

    • domains

      .1234.cn-hangzhou.emr.aliyuncs.com = EMR.1234.COM
.6789.cn-hangzhou.emr.aliyuncs.com = EMR.6789.COM

    • capaths

      EMR.1234.COM = {
   EMR.6789.COM = .
}
EMR.6789.COM = {
   EMR.1234.COM = .
}
    null

    Jika Anda ingin menjalankan pekerjaan di kluster Cluster-A yang melibatkan akses ke kluster Cluster-B, mulai ulang YARN di kluster Cluster-B.

    Langkah 4: Mengakses layanan kluster Cluster-B

    Setelah kluster Cluster-A memperoleh TGT dari server KDC-nya, Anda dapat mengakses layanan kluster Cluster-B dari kluster Cluster-A.

    1. Buat Principal untuk pengujian dan hasilkan tiket.

      kadmin.local -q  "addprinc -pw 123456 test"
kinit test

    2. Akses layanan Hadoop Distributed File System (HDFS) kluster Cluster-B dari kluster Cluster-A.

      hdfs dfs -ls hdfs://master-1-1.6789.cn-hangzhou.emr.aliyuncs.com:9000/