Alibaba Cloud E-MapReduce (EMR) では、V3.43.1、V5.9.1、または V3.43.1 あるいは V5.9.1 以降のマイナーバージョンの EMR クラスタを作成する際に、外部キー配布センター (KDC) に接続できます。EMR クラスタで Kerberos 認証を使用する場合、クラスタ内の組み込み KDC または外部 KDC を使用して、ID 管理と認証を一元的に行うことができます。
前提条件
外部 KDC の IP アドレス、Kadmin の IP アドレス、および Kerberos プリンシパルの名前とパスワードを取得します。
取得した情報が有効であることを確認する必要があります。無効な場合、接続に失敗する可能性があります。
制限事項
外部 KDC は、MIT Kerberos 上に構築する必要があります。
注意事項
外部 KDC の IP アドレスとポートに EMR クラスタから接続できることを確認してください。たとえば、TCP ポート 88 と 749、および UDP ポート 88 に接続できることを確認してください。
手順
クラスタの作成方法については、「クラスタを作成する」をご参照ください。
クラスタを作成する際の [ソフトウェア構成] ステップで、[詳細設定] セクションの [Kerberos 認証] をオンにします。
KDC ソースとして [外部 KDC] を選択します。
デフォルトでは、KDC ソースとして [セルフマネージド KDC] が選択されています。これは、システムが EMR クラスタ用に KDC を作成することを示します。外部 KDC を選択した場合は、パラメータを構成します。次の表でパラメータについて説明します。
パラメータ
説明
KDC ホスト
KDC の IP アドレスとポート。
複数の IP アドレスはコンマ (,) で区切ります。例: 192.168.**.**:88,192.168.**.**:88.
重要KDC の IP アドレスとポートに EMR クラスタから接続できることを確認してください。
レルム名
KDC レルムの名前 (例:
EMR.C-XXXXX.COM)。Kadmin ホスト
Kadmin の IP アドレスとポート。
複数の IP アドレスはコンマ (,) で区切ります。例: 192.168.**.**:749,192.168.**.**:749.
重要Kadmin の IP アドレスとポートに EMR クラスタから接続できることを確認してください。
管理プリンシパル
Kadmin への接続に使用する Kerberos プリンシパルの名前 (例:
root/admin)。Kerberos プリンシパルに管理者権限が付与されていることを確認してください。権限がない場合、プリンシパルを作成したり、keytab ファイルをエクスポートしたりすることはできません。
管理パスワード
Kadmin への接続に使用する Kerberos プリンシパルのパスワード。
パスワードの確認