Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Utilisation de SSH pour se connecter à des clusters Kerberisés avec Amazon EMR
<a name="emr-kerberos-connect-ssh"></a>

Cette section illustre les étapes pour qu'un utilisateur authentifié par Kerberos se connecte au nœud primaire d'un cluster EMR.

Chaque ordinateur qui est utilisé pour une connexion SSH doit avoir le client SSH et les applications client Kerberos installés. Il est probable que les ordinateurs Linux comportent ces éléments par défaut. Par exemple, OpenSSH est installé sur la plupart des systèmes d'exploitation Linux, Unix et macOS. Vous pouvez vérifier un client SSH en tapant **ssh** dans la ligne de commande. Si votre ordinateur ne reconnaît pas la commande, installez un client SSH pour vous connecter au nœud primaire. Le projet OpenSSH offre une implémentation gratuite de la suite entière des outils SSH. Pour plus d'informations, consultez le site Web [OpenSSH](http://www.openssh.org/). Les utilisateurs Windows peuvent utiliser des applications telles que [PuTTY](http://www.chiark.greenend.org.uk/~sgtatham/putty/) en tant que client SSH. 

Pour plus d'informations sur vos connexions SSH, consultez [Connexion à un cluster Amazon EMR](emr-connect-master-node.md).

SSH utilise GSSAPI pour authentifier les clients Kerberos et vous devez activer l'authentification GSSAPI pour le service SSH sur le nœud primaire du cluster. Pour de plus amples informations, veuillez consulter [Activation de GSSAPI pour SSH](emr-kerberos-configuration-users.md#emr-kerberos-ssh-config). Les clients SSH doivent également utiliser GSSAPI.

Dans les exemples suivants, pour *MasterPublicDNS* utiliser la valeur qui apparaît pour **Master public DNS** dans l'onglet **Résumé** du volet des détails du cluster, par exemple,. *ec2-11-222-33-44.compute-1.amazonaws.com*

## Conditions préalables pour krb5.conf (non Active Directory)
<a name="emr-kerberos-conffile"></a>

Lorsque vous utilisez une configuration sans l'intégration d'Active Directory, en plus du client SSH et des applications clientes Kerberos, chaque ordinateur client doit avoir une copie du fichier `/etc/krb5.conf` correspondant au fichier `/etc/krb5.conf` sur le nœud primaire du cluster.

**Pour copier le fichier krb5.conf**

1. Utilisez SSH pour vous connecter au nœud primaire à l'aide d'une paire de clés EC2 et de l'utilisateur `hadoop` par défaut. Par exemple, `hadoop@MasterPublicDNS`. Pour obtenir des instructions complètes, consultez [Connexion à un cluster Amazon EMR](emr-connect-master-node.md).

1. Dans le nœud primaire, copiez le contenu du fichier `/etc/krb5.conf`. Pour de plus amples informations, veuillez consulter [Connexion à un cluster Amazon EMR](emr-connect-master-node.md).

1. Sur chaque ordinateur client qui sera utilisé pour se connecter au cluster, créez un fichier `/etc/krb5.conf` identique à partir de la copie que vous avez créée à l'étape précédente.

## Utilisation de Kinit et SSH
<a name="emr-kerberos-kinit-ssh"></a>

Chaque fois qu'un utilisateur se connecte à partir d'un ordinateur client à l'aide des informations d'identification Kerberos, l'utilisateur doit d'abord renouveler un ticket Kerberos pour leurs utilisateurs sur l'ordinateur client. En outre, le client SSH doit être configuré pour utiliser l'authentification GSSAPI.

**Utilisation de SSH pour se connecter aux clusters EMR Kerberos**

1. Utilisez `kinit` pour renouveler vos tickets Kerberos, comme illustré dans l'exemple suivant

   ```
   kinit user1
   ```

1. Utilisez un client `ssh` en même temps que le principal que vous avez créé dans le KDC dédié au cluster ou dans le nom d'utilisateur Active Directory. Assurez-vous que l'authentification GSSAPI est activée, telle qu'illustrée dans les exemples suivants.

   **Exemple : utilisateurs Linux**

   L'option `-K `spécifie l'authentification GSSAPI.

   ```
   ssh -K user1@MasterPublicDNS
   ```

   **Exemple : utilisateurs Windows (PuTTY)**

   Assurez-vous que l'authentification GSSAPI est activée pour la session, telle qu'illustrée :  
![\[PuTTY Configuration window showing GSSAPI authentication options and library preferences.\]](http://docs.aws.amazon.com/fr_fr/emr/latest/ManagementGuide/images/kerb-gssapi-putty.png)