サービスに対して LDAP 認証が有効になっている場合、サービスにアクセスするときに LDAP ユーザー名とパスワードを入力する必要があります。これにより、サービスのセキュリティが向上します。EMR コンソールで簡単な操作を実行することで、サービスに対して LDAP 認証を有効にできます。これにより、LDAP 認証の複雑な構成から解放されます。
前提条件
E-MapReduce(EMR)クラスターが作成されています。クラスターを作成するときに、Trino サービスと OpenLDAP サービスが選択されています。詳細については、「クラスターの作成」をご参照ください。
注意事項
LDAP 認証が有効になっている EMR V3.43.1 または EMR V5.9.1 のクラスターに接続できない場合は、クラスター内のワーカーノードに必要なパラメーターが構成されていません。この問題を解決するには、クラスター内の master-1-1 ノードにアクセスし、Presto 構成ファイル
internal-communication.shared-secretconfig.properties から 構成項目の追加 パラメーターとその値を見つけます。次に、EMR コンソールで、クラスターのコアおよびタスクノードグループ内のワーカーノードの構成項目として、パラメーターとその値を追加します。構成項目の追加方法については、「」をご参照ください。LDAP 認証は、Trino の Kerberos 認証と競合します。そのため、Trino サービスがデプロイされている EMR クラスターに対しては、LDAP 認証または Kerberos 認証のみを有効にできます。
手順
EMR ユーザーを追加します。詳細については、「ユーザーの追加」をご参照ください。
[サービス] タブに移動します。
EMR コンソール にログインします。
左側のナビゲーションペインで、[EMR On ECS] をクリックします。
上部のナビゲーションバーで、クラスターが存在するリージョンを選択し、ビジネス要件に基づいてリソースグループを選択します。
[EMR On ECS] ページで、目的のクラスターを見つけ、[アクション] 列の [サービス] をクリックします。
LDAP 認証を有効にします。
[サービス] タブで、Trino サービスを見つけ、[ステータス] をクリックします。
LDAP 認証を有効にします。
EMR V5.11.1 以降のマイナーバージョン、または EMR V3.45.1 以降のマイナーバージョンのクラスターの場合
[サービス概要] セクションの [ステータス] タブで、[trinoldap] をオンにします。
表示されるメッセージで、OK をクリックします。
EMR V5.11.0 以前のマイナーバージョン、または EMR V3.45.0 以前のマイナーバージョンのクラスターの場合
重要LDAP 認証を有効にするスイッチがない以前のバージョンの EMR クラスターを使用している場合は、コミュニティのオープンソース Spark のドキュメントを参照して、LDAP 認証を有効にする設定を手動で構成する必要があります。
Components セクションで、[trinomaster] コンポーネントを見つけ、[アクション] 列の
アイコンにポインターを移動し、[enableldap] をクリックします。表示されるダイアログボックスで、Execution Reason パラメーターを構成し、OK をクリックします。
[確認] メッセージで、OK をクリックします。
TrinoMaster を再起動します。
[コンポーネント] セクションで、[trinomaster] コンポーネントを見つけ、[アクション] 列の [再起動] をクリックします。
表示されるダイアログボックスで、[実行理由] パラメーターを構成し、[OK] をクリックします。
[確認] メッセージで、[OK] をクリックします。
Trino サービスに接続します。
LDAP 認証が有効になっている場合、クラスター内の Trino サービスにアクセスするときに LDAP 認証資格情報を入力する必要があります。
SSH モードでクラスターにログインします。詳細については、「クラスターへのログイン」をご参照ください。
次のコマンドを実行して Trino にアクセスします。
重要高セキュリティが有効になっている場合、Trino には HTTPS のみを使用してアクセスできます。ポート 9090 は無効になり、http-server.http.port 構成項目は無効になります。この場合、ポート 7778 を使用して Trino にアクセスする必要があります。
/* Trino にアクセスするには、次のコマンドを実行します。 */ trino --server https://{fqdn}:7778 --keystore-path {keystore_location} \ --keystore-password {keystore_passwd} --catalog hive --user {user} --passwordパラメーター
説明
{fqdn}
キーストアのドメイン名。
キーストアのドメイン名を取得するには、Trino サービスページの [構成] タブに移動し、[ldap.url] パラメーターを見つけます。パラメーター値の
master-1-1.c-xxxxxxx.cn-x******.emr.aliyuncs.com形式のコンテンツが、キーストアのドメイン名です。{keystore_location}
キーストアファイルを保存するために使用されるパス。
パスは、[構成] タブの
http-server.https.keystore.pathconfig.properties サブタブにある/etc/emr/trino-conf/keystoreパラメーターの値です。値は に固定されています。{keystore_passwd}
キーストアファイルにアクセスするために使用されるパスワード。
パスワードは、[構成] タブの
http-server.https.keystore.keyconfig.properties サブタブにあるawk -F= '/http-server.https.keystore.key/{print $2}' ${TRINO_CONF_DIR}/config.propertiesパラメーターの値です。値は手動で取得する必要があります。 master-1-1 ノードで コマンドを実行して、値を表示できます。{user}
手順 1 で指定した LDAP ユーザー名。
上記のコマンドを実行した後、手順 1 で指定した LDAP ユーザーのパスワードを入力します。
オプション。 LDAP 認証を無効にします。
[サービス] タブで、Trino サービスを見つけ、[ステータス] をクリックします。
LDAP 認証を無効にします。
EMR V5.11.1 以降のマイナーバージョン、または EMR V3.45.1 以降のマイナーバージョンのクラスターの場合
[サービス概要] セクションの [ステータス] タブで、[trinoldap] をオフにします。
表示されるメッセージで、[OK] をクリックします。
EMR V5.11.0 以前のマイナーバージョン、または EMR V3.45.0 以前のマイナーバージョンのクラスターの場合
Components セクションで、[trinomaster] コンポーネントを見つけ、[アクション] 列の
アイコンにポインターを移動し、[disableldap] をクリックします。表示されるダイアログボックスで、Execution Reason パラメーターを構成し、OK をクリックします。
[確認] メッセージで、OK をクリックします。
TrinoMaster を再起動します。
[コンポーネント] セクションで、[trinomaster] コンポーネントを見つけ、[アクション] 列の [再起動] をクリックします。
表示されるダイアログボックスで、[実行理由] パラメーターを構成し、[OK] をクリックします。
[確認] メッセージで、[OK] をクリックします。