Zephyrnet Logosu

Microsoft Active Directory ile entegre Amazon EMR Kerberos kimlik doğrulamasını derinlemesine inceleyin

Tarih:

kullanan birçok müşterimiz Amazon EMR'si çünkü büyük veri platformlarının kullanıcı kimlik doğrulaması için mevcut Microsoft Active Directory (AD) ile entegre olması gerekiyor. Bu entegrasyon, Amazon EMR'nin Kerberos arka plan programının bir AD etki alanıyla güvenilir bir bağlantı kurmasını gerektirir; bu, çok sayıda hareketli parça içerir ve doğru şekilde yapılması zor olabilir.

Bu gönderide, Active Directory ile tek yönlü güvenin ne anlama geldiği ve kurulumunda kullanılan komutların nasıl çalıştığı açıklanmaktadır. DNS adlarının, Kerberos erişim alanlarının ve AD etki alanlarının nasıl farklı olduğunu ve bunun Amazon EMR güvenlik yapılandırması ve küme tek yönlü güven ayarları açısından sonuçlarını açıklıyoruz. Ayrıca nasıl kullanamayacağınızı da tartışıyoruz AWS Tarafından Yönetilen Microsoft AD Amazon EMR anahtar dağıtım merkezi (KDC) güveni için mevcut veya yeni bir AD sunucusunu kullanması gerekir.

AWS, bu alanın bir kısmını kapsayan belgeleri ve blog gönderilerini zaten yayınladı ve bu gönderi, bunların yerini almaktan ziyade onları tamamlamayı amaçlıyor. Bu nedenle devam etmeden önce aşağıdakileri okumanızı öneririz:

Bu sizin için doğru mimari mi?

Amazon EMR'nin Kerberos ile kimliğini doğrulamak için çeşitli seçenekler vardır ve doğru yaklaşımın seçilmesi kullanım durumunuza bağlı olacaktır. Daha fazla bilgi için bkz. Kerberos mimarisi seçenekleri. Bu yazıda, kullanıcılarınızın zaten AD etki alanınızda olduğu ve Amazon EMR'deki eylemleri yetkilendirmek için bu kimlikleri kullanmak istediğiniz durumu ele alacağız. Halihazırda bir AD'niz yoksa veya AD olmayan mevcut bir Kerberos bölgesini genişletmek istiyorsanız diğer seçeneklerden biri daha uygun olacaktır. Kendiniz için yapmanız gerekenden daha fazla iş yapmayın!

Active Directory'ye bağlanma

Amazon EMR'yi AD'ye bağlarken iki hedef vardır:

  • Amazon EMR'de çalışan kullanıcıların hizmetlere erişmek için AD kimlik bilgilerini kullanabilmesi için Kerberos'tan AD'ye tek yönlü bir güven oluşturun. Bunun için 88, 464 (Kerberos için) ve 139 (LDAP için) bağlantı noktalarının EMR kümesinden erişilebilir olması gerekir.
  • EMR kümesini oluşturan sunucuların AD etki alanına kaydedilebilmesi için EMR kümesini AD'ye bağlayın. Bu, AD etki alanında bu kayıtları yapmak için yeterli ayrıcalıklara sahip yapılandırılmış bir kullanıcı gerektirir; buna genellikle kullanıcıyı bağla.

Aktif Dizin Türleri

Önceki gereksinimlerin birleşimi, yalnızca bir AD sunucusunun hedefleri karşılayabileceği anlamına gelir. AWS Managed Microsoft AD'yi veya Microsoft Azure AD'yi kullanamazsınız. Bu, en iyi uygulama olarak iki seçeneği bırakır.

Öncelikle Amazon EMR'yi aşağıdaki şemada gösterildiği gibi doğrudan mevcut bir AD sunucusuna (şirket içi veya bulutta) bağlayabilirsiniz.

Alternatif olarak, yeni bir AD sunucusu oluşturabilirsiniz. Amazon Elastik Bilgi İşlem Bulutu (Amazon EC2), mevcut kurumsal AD ormanına ekleyin ve Amazon EMR'nin bu yeni bulut tabanlı AD sunucusuna bağlanmasını sağlayın (aşağıdaki diyagramda gösterildiği gibi).

Etki alanları ve alanlar

Karışıklığı önlemek için hangi terimlerin hangi teknolojiye uygulandığını anlamak kritik öneme sahiptir.

Active Directory yönetir etkiKullanıcılar ve bilgisayarlar gibi birçok kayıtlı varlığı içeren. Genellikle küçük harflerle yazılırlar (örneğin, corp.mycompany.com) ve internet alan adlarına çok benzemektedir. Mutlaka bir IP adresine çözümlemeleri gerekmez, ancak genellikle yaparlar.

Kerberos kullanır realms benzer bir kavram için ve kayıtlı kuruluşları şu şekilde anılır: müdürler. Bölgeler genellikle büyük harfle yazılır ve büyük/küçük harf dışında genellikle internet etki alanına benzeyen bir adlandırma stili kullanır (örneğin, EMR.MYCOMPANY.COM). Bir IP adresine çözümlemeleri gerekmez ve genellikle de gerekmez.

Bir EMR kümesinin Kerberos arka plan programı için alanı yapılandırırken ad tamamen isteğe bağlıdır. İçinde tanımlanan sorumlular için bir ad alanı görevi görür ancak EMR kümenizdeki örneklerin alan adlarıyla eşleşmesi gerekmez. Örneğin, EC2 makinelerinizin özel DNS adları varsayılanı kullanıyorsa ec2.internal alan adınızın EMR alan adı olması gerekmez ec2.internal; olabilir mykerberosrealm veya hoşunuza giden herhangi bir şey.

Kullanıcıyı bağla

EMR bilgisayarlarını AD etki alanına kaydetme ("bağlama") iznine sahip bir bağlama kullanıcısının Active Directory'de oluşturulması gerekir. Amazon EMR bu bilgisayarları şu şekilde kaydeder: CN=Computers.

Amazon EMR'nin Hadoop bileşenleriyle kullanılmak üzere oluşturduğu Kerberos sorumluları, Amazon EMR Kerberos kurulumunda kesinlikle yereldir; AD etki alanında kayıtlı değildirler.

DNS

EMR Kerberos arka plan programının, AD sunucunuz arasında güven oluşturabilmesi için DNS adını çözebilmesi gerekir. Bu DNS etki alanları kurumsal DNS sunucularınızda yönetiliyorsa, Amazon Rota 53 Sorunları çözmek için Amazon EMR için ileticileri kurumsal DNS sunucularınıza yönlendirin. Güven yalnızca tek yönlü olduğundan, AD sunucusunun EMR küme düğümlerinin dahili DNS adlarını çözümleyebilmesine gerek yoktur.

Güven tesis et

Amazon EMR'den AD'ye kurmanız gereken güvenin iki yönlü değil (birbirlerine güvenirler) yalnızca tek yönlü olması gerekir (Amazon EMR AD'ye güvenir). Tek yönlü güveni oluşturmak için ksetup ve netdom AD makinesinin komut satırındaki yardımcı programlar. Önerilen şifreleme türü özelliği (SetEncTypeAttr) etki alanı için bir AES-256 şifresidir. Aşağıdaki kod, EMR Kerberos bölgesi örneğini kullanır EMR.MYCOMPANY.COM ve AD alanı corp.mycompany.com:

C:UsersAdministrator> ksetup /addkdc EMR.MYCOMPANY.COM
C:UsersAdministrator> netdom trust EMR.MYCOMPANY.COM /Domain:corp.mycompany.com /add /realm /passwordt:MyVeryStrongPassword
C:UsersAdministrator> ksetup /SetEncTypeAttr EMR.MYCOMPANY.COM AES256-CTS-HMAC-SHA1-96

İlk olarak ksetup komutunu kullanarak, son bağımsız değişken olarak KDC kümesinin tam etki alanı adını sağlamanıza gerek yoktur. Bu yalnızca iki yönlü bir güven için gereklidir ve tek yönlü bir güven için isteğe bağlıdır.

Amazon EMR güvenlik yapılandırması

EMR kümesini başlatmadan önce, bağlandığınız AD sunucusunun ve etki alanının ayrıntılarını içeren bir güvenlik yapılandırması oluşturmanız gerekir. Aşağıdaki ekran görüntüsü bu yapılandırmanın bir örneğini göstermektedir.

Bu alanlar büyük/küçük harfe duyarlıdır, dolayısıyla her şeyi doğru girdiğinizden emin olun. Bu yapılandırmadaki etki alanı ve bölgenin her ikisinin de EMR kümesine değil, AD sunucusuna atıfta bulunduğunu unutmayın! AD, Active Directory'nin yanı sıra bir Kerberos arka plan programı olarak da davranabildiğinden, bu alanların her ikisi de burada yapılandırılır. Ancak her iki durumda da EMR kümesinin Kerberos etki alanına değil, AD sunucusuna başvururlar.

Küme başlatırken Amazon EMR güvenlik seçenekleri

Bir EMR kümesini başlattığınızda güvenlik seçeneklerini aşağıdaki ekran görüntüsünde gösterildiği gibi yapılandırırsınız.

Burada yeni oluşturduğunuz güvenlik yapılandırmasını kullanırsınız ve güvenlik yapılandırmasında AD etki alanıyla güven oluşturmak için gereken parametrelerin yanı sıra EMR Kerberos alanının ayrıntılarını da belirtirsiniz. Aşağıdaki alanlar için bilgi sağlarsınız:

  • Diyar – Belirleyeceğiniz Kerberos alanı tamamen size bağlıdır ancak AD makinesinde güven oluştururken kullandığınızla aynı olmalıdır.
  • KDC yönetici şifresi – Bu, küme yapılandırmasının başka hiçbir yerinde kullanılmadığından, bunu özellikle bu küme için benzersiz ve güvenli bir şeye ayarlayabilirsiniz. Yalnızca kümeye özel KDC'nin gelecekteki yönetimi için gereklidir.
  • Bölgeler arası güven ana parolası – Bu, ile belirlediğiniz şifredir. netdom Komut.
  • Active Directory etki alanına katılma kullanıcısı –Bu, AD yöneticinizin oluşturduğu bağlama kullanıcısıdır.
  • Active Directory etki alanına katılma parolası – Bu, AD'den bağlama kullanıcısının parolasıdır.

Temizlemek

Bu çözümü test etmeyi bitirdiğinizde kaynakları temizlemeyi unutmayın. Kaynakları oluşturmak için CloudFormation şablonlarını kullandıysanız yığını silmek için AWS CloudFormation konsolunu kullanın. Alternatif olarak, şunları kullanabilirsiniz: AWS Komut Satırı Arayüzü (AWS CLI) veya SDK'lar. Talimatlar için bkz. Bir yığının silinmesi. Bir yığının silinmesi aynı zamanda o yığın tarafından oluşturulan kaynakların da silinmesine neden olur.

Yığınlarınızdan biri silinmezse o yığın tarafından oluşturulan kaynaklara bağımlılık olmadığından emin olun. Örneğin, AWS CloudFormation'ı kullanarak bir Amazon VPC dağıttıysanız ve ardından farklı bir CloudFormation yığını kullanarak bu VPC'ye bir etki alanı denetleyicisi dağıttıysanız, VPC yığınını silebilmeniz için öncelikle etki alanı denetleyicisi yığınını silmeniz gerekir.

Sonuç

Bu gönderideki adımlar, Amazon EMR'nin Kerberos arka plan programı ile Active Directory etki alanı arasında güven oluşturma konusunda size yol gösterdi. Bunun sürecin gizemini çözdüğünü ve gelecekte güvenli, AD ile entegre EMR kümeleri oluşturmanızı kolaylaştırdığını umuyoruz.


Yazarlar Hakkında

Anandkumar Kaliaperumal Profesyonel Hizmetler SDT'de Kıdemli Veri Mimarıdır ve burada müşterilere Hadoop ve veri gölü geçişlerinde yardımcı olmaya odaklanır. Büyüyen ailesiyle birlikte Dallas'ta yaşıyor.

Bharath Kumar Boggarapu AWS Profesyonel Hizmetler'de büyük veri teknolojilerinde uzmanlığa sahip bir Veri Mimarıdır. Müşterilerin performanslı ve sağlam veri odaklı çözümler oluşturmasına ve veri ve analiz potansiyellerini gerçekleştirmesine yardımcı olma konusunda tutkuludur. İlgi alanları açık kaynak çerçeveler, otomasyon ve veri mimarisidir. Boş zamanlarında ailesiyle vakit geçirmeyi, tenis oynamayı ve seyahat etmeyi seviyor.

Oliver Meyn Kanada Profesyonel Hizmetler Paylaşımlı Teslimat Ekibinde Kıdemli Veri Mimarı olarak görev yaptı ve müşterilerin verilerini ve iş akışlarını AWS'ye taşımalarına yardımcı oldu. Ailesiyle ve çok fazla bisikletiyle Toronto'da yaşıyor.

spot_img

En Son İstihbarat

spot_img