Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Gunakan Active Directory atau server LDAP untuk otentikasi dengan Amazon EMR
<a name="ldap"></a>

Dengan Amazon EMR merilis 6.12.0 dan yang lebih tinggi, Anda dapat menggunakan protokol LDAP over SSL (LDAPS) untuk meluncurkan cluster yang terintegrasi secara native dengan server identitas perusahaan Anda. LDAP (Lightweight Directory Access Protocol) adalah protokol aplikasi terbuka dan netral vendor yang mengakses dan memelihara data. LDAP umumnya digunakan untuk otentikasi pengguna terhadap server identitas perusahaan yang di-host pada aplikasi seperti Active Directory (AD) dan OpenLDAP. Dengan integrasi asli ini, Anda dapat menggunakan server LDAP Anda untuk mengautentikasi pengguna di Amazon EMR.

Sorotan integrasi Amazon EMR LDAP meliputi:
+ Amazon EMR mengonfigurasi aplikasi yang didukung untuk mengautentikasi dengan otentikasi LDAP atas nama Anda.
+ Amazon EMR mengonfigurasi dan memelihara keamanan untuk aplikasi yang didukung dengan protokol Kerberos. Anda tidak perlu memasukkan perintah atau skrip apa pun.
+ Anda mendapatkan kontrol akses halus (FGAC) melalui otorisasi Apache Ranger untuk database dan tabel Hive Metastore. Untuk informasi selengkapnya, lihat [Mengintegrasikan Amazon EMR dengan Apache Ranger](emr-ranger.md).
+ Ketika Anda memerlukan kredensyal LDAP untuk mengakses kluster, Anda mendapatkan kontrol akses halus (FGAC) atas siapa yang dapat mengakses kluster EMR Anda melalui SSH.

Halaman-halaman berikut memberikan gambaran konseptual, prasyarat, dan langkah-langkah untuk meluncurkan cluster EMR dengan integrasi Amazon EMR LDAP.

**Topics**
+ [Ikhtisar LDAP dengan Amazon EMR](ldap-overview.md)
+ [Komponen LDAP untuk Amazon EMR](ldap-components.md)
+ [Dukungan aplikasi dan pertimbangan dengan LDAP untuk Amazon EMR](ldap-considerations.md)
+ [Konfigurasikan dan luncurkan cluster EMR dengan LDAP](ldap-setup.md)
+ [Contoh menggunakan LDAP dengan Amazon EMR](ldap-examples.md)

# Ikhtisar LDAP dengan Amazon EMR
<a name="ldap-overview"></a>

Lightweight Directory Access Protocol (LDAP) adalah protokol perangkat lunak yang digunakan administrator jaringan untuk mengelola dan mengontrol akses ke data dengan mengautentikasi pengguna dalam jaringan perusahaan. Protokol LDAP menyimpan informasi dalam hierarkis, struktur direktori pohon. Untuk informasi lebih lanjut, lihat [Konsep LDAP Dasar](https://ldap.com/basic-ldap-concepts/) di *LDAP.com*.

Dalam jaringan perusahaan, banyak aplikasi mungkin menggunakan protokol LDAP untuk mengautentikasi pengguna. Dengan integrasi Amazon EMR LDAP, kluster EMR secara native dapat menggunakan protokol LDAP yang sama dengan konfigurasi keamanan tambahan.

**Ada dua implementasi utama protokol LDAP yang didukung Amazon EMR: **Active Directory** dan OpenLDAP.** Sementara implementasi lain dimungkinkan, sebagian besar sesuai dengan protokol otentikasi yang sama seperti Active Directory atau OpenLDAP.

## Direktori Aktif (AD)
<a name="ldap-ad"></a>

Active Directory (AD) adalah layanan direktori dari Microsoft untuk jaringan domain Windows. AD disertakan pada sebagian besar sistem operasi Windows Server, dan dapat berkomunikasi dengan klien melalui protokol LDAP dan LDAPS. Untuk autentikasi, Amazon EMR mencoba mengikat pengguna dengan instans AD Anda dengan Nama Utama Pengguna (UPN) sebagai nama dan kata sandi yang dibedakan. UPN menggunakan format `username@domain_name` standar.

## OpenLDAP
<a name="ldap-openldap"></a>

OpenLDAP adalah implementasi open source gratis dari protokol LDAP. Untuk otentikasi, Amazon EMR mencoba mengikat pengguna dengan instans OpenLDAP Anda dengan nama domain yang memenuhi syarat (FQDN) sebagai nama dan kata sandi yang dibedakan. FQDN menggunakan format standar. `username_attribute=username,LDAP_user_search_base` Umumnya, `username_attribute` nilainya`uid`, dan `LDAP_user_search_base` nilainya berisi atribut pohon yang mengarah ke pengguna. Misalnya, `ou=People,dc=example,dc=com`.

Implementasi gratis dan open-source lainnya dari protokol LDAP biasanya mengikuti FQDN yang serupa dengan OpenLDAP untuk nama-nama terkemuka penggunanya. 

# Komponen LDAP untuk Amazon EMR
<a name="ldap-components"></a>

Anda dapat menggunakan server LDAP Anda untuk mengautentikasi dengan Amazon EMR dan aplikasi apa pun yang langsung digunakan pengguna pada cluster EMR melalui komponen-komponen berikut. 

**Agen Rahasia**  
*Agen Rahasia* adalah proses on-cluster yang mengautentikasi semua permintaan pengguna. Agen Rahasia membuat pengguna mengikat ke server LDAP Anda atas nama aplikasi yang didukung pada cluster EMR. Agen Rahasia berjalan sebagai `emrsecretagent` pengguna, dan menulis log ke `/emr/secretagent/log` direktori. Log ini memberikan rincian tentang status permintaan otentikasi setiap pengguna dan kesalahan apa pun yang mungkin muncul selama otentikasi pengguna.

**Layanan Keamanan Sistem Daemon (SSSD)**  
*SSSD* adalah daemon yang berjalan pada setiap node dari cluster EMR berkemampuan LDAP. SSSD membuat dan mengelola pengguna UNIX untuk menyinkronkan identitas perusahaan jarak jauh Anda ke setiap node. Aplikasi berbasis benang seperti Hive dan Spark mengharuskan pengguna UNIX lokal ada di setiap node yang menjalankan kueri untuk pengguna.

# Dukungan aplikasi dan pertimbangan dengan LDAP untuk Amazon EMR
<a name="ldap-considerations"></a>

Topik ini mencantumkan aplikasi yang didukung, fitur yang didukung, dan fitur yang tidak didukung.

## Aplikasi yang didukung dengan LDAP untuk Amazon EMR
<a name="ldap-considerations-apps"></a>

**penting**  
Aplikasi yang tercantum di halaman ini adalah satu-satunya aplikasi yang didukung Amazon EMR untuk LDAP. Untuk memastikan keamanan klaster, Anda hanya dapat menyertakan aplikasi yang kompatibel dengan LDAP saat membuat klaster EMR dengan LDAP diaktifkan. Jika Anda mencoba menginstal aplikasi lain yang tidak didukung, Amazon EMR akan menolak permintaan Anda untuk klaster baru.

Amazon EMR merilis 6.12 dan lebih tinggi mendukung integrasi LDAP dengan aplikasi berikut:
+ Apache Livy
+ Apache Sarang melalui HiveServer 2 () HS2
+ Trino
+ Presto
+ Hue

Anda juga dapat menginstal aplikasi berikut pada cluster EMR dan mengonfigurasinya untuk memenuhi kebutuhan keamanan Anda:
+ Apache Spark
+ Apache Hadoop

## Fitur yang didukung dengan LDAP untuk Amazon EMR
<a name="ldap-considerations-features"></a>

Anda dapat menggunakan fitur EMR Amazon berikut dengan integrasi LDAP:

**catatan**  
Untuk menjaga kredensyal LDAP tetap aman, Anda harus menggunakan enkripsi dalam transit untuk mengamankan aliran data di dalam dan di luar klaster. Untuk informasi selengkapnya tentang enkripsi dalam perjalanan, lihat[Enkripsi data saat istirahat dan dalam perjalanan dengan Amazon EMR](emr-data-encryption.md).
+ Enkripsi dalam perjalanan (wajib) dan saat istirahat
+ Grup klaster, armada instans, dan instans Spot
+ Konfigurasi ulang aplikasi pada klaster berjalan
+ Server-side encryption (SSE) EMRFS

## Fitur yang tidak didukung
<a name="ldap-considerations-limitations"></a>

Pertimbangkan batasan berikut saat Anda menggunakan integrasi Amazon EMR LDAP:
+ Amazon EMR menonaktifkan langkah-langkah untuk cluster dengan LDAP diaktifkan.
+ Amazon EMR tidak mendukung peran runtime dan AWS Lake Formation integrasi untuk cluster dengan LDAP diaktifkan.
+ Amazon EMR tidak mendukung LDAP dengan StartTLS.
+ Amazon EMR tidak mendukung mode ketersediaan tinggi (cluster dengan beberapa node utama) untuk cluster dengan LDAP diaktifkan.
+ Anda tidak dapat memutar kredensyal atau sertifikat bind untuk klaster dengan LDAP diaktifkan. Jika salah satu bidang tersebut diputar, sebaiknya Anda memulai klaster baru dengan kredensyal atau sertifikat bind yang diperbarui.
+ Anda harus menggunakan basis pencarian yang tepat dengan LDAP. Basis pencarian pengguna dan grup LDAP tidak mendukung filter pencarian LDAP.

# Konfigurasikan dan luncurkan cluster EMR dengan LDAP
<a name="ldap-setup"></a>

Bagian ini mencakup cara mengkonfigurasi Amazon EMR untuk digunakan dengan otentikasi LDAP.

**Topics**
+ [Tambahkan AWS Secrets Manager izin ke peran instans EMR Amazon](ldap-setup-asm.md)
+ [Buat konfigurasi keamanan Amazon EMR untuk integrasi LDAP](ldap-setup-security.md)
+ [Luncurkan cluster EMR yang mengautentikasi dengan LDAP](ldap-setup-launch.md)

# Tambahkan AWS Secrets Manager izin ke peran instans EMR Amazon
<a name="ldap-setup-asm"></a>

Amazon EMR menggunakan peran layanan IAM untuk melakukan tindakan atas nama Anda untuk menyediakan dan mengelola klaster. Peran layanan untuk instans EC2 cluster, juga disebut profil *instans EC2 untuk Amazon EMR*, adalah jenis peran layanan khusus yang diberikan Amazon EMR ke setiap instans EC2 dalam klaster saat diluncurkan.

Untuk menentukan izin kluster EMR agar berinteraksi dengan data Amazon S3 dan layanan AWS lainnya, tentukan profil instans Amazon EC2 kustom, bukan saat Anda meluncurkan klaster. `EMR_EC2_DefaultRole` Untuk informasi selengkapnya, lihat [Peran layanan untuk instans EC2 klaster (profil instans EC2)](emr-iam-role-for-ec2.md) dan [Sesuaikan peran IAM dengan Amazon EMR](emr-iam-roles-custom.md).

Tambahkan pernyataan berikut ke profil instans EC2 default untuk memungkinkan Amazon EMR menandai sesi dan mengakses yang menyimpan sertifikat AWS Secrets Manager LDAP.

```
    {
      "Sid": "AllowAssumeOfRolesAndTagging",
      "Effect": "Allow",
      "Action": ["sts:TagSession", "sts:AssumeRole"],
      "Resource": [
        "arn:aws:iam::111122223333:role/LDAP_DATA_ACCESS_ROLE_NAME",
        "arn:aws:iam::111122223333:role/LDAP_USER_ACCESS_ROLE_NAME"
      ]
    },
    {
        "Sid": "AllowSecretsRetrieval",
        "Effect": "Allow",
        "Action": "secretsmanager:GetSecretValue",
        "Resource": [
            "arn:aws:secretsmanager:us-east-1:111122223333:secret:LDAP_SECRET_NAME*",
            "arn:aws:secretsmanager:us-east-1:111122223333:secret:ADMIN_LDAP_SECRET_NAME*"
        ]
    }
```

**catatan**  
Permintaan klaster Anda akan gagal jika Anda lupa `*` karakter wildcard di akhir nama rahasia saat Anda menetapkan izin Secrets Manager. Wildcard mewakili versi rahasia.  
Anda juga harus membatasi cakupan AWS Secrets Manager kebijakan hanya pada sertifikat yang dibutuhkan klaster Anda untuk menyediakan instance.

# Buat konfigurasi keamanan Amazon EMR untuk integrasi LDAP
<a name="ldap-setup-security"></a>

Sebelum Anda dapat meluncurkan kluster EMR dengan integrasi LDAP, gunakan langkah-langkah [Buat konfigurasi keamanan dengan konsol EMR Amazon atau dengan AWS CLI](emr-create-security-configuration.md) untuk membuat konfigurasi keamanan Amazon EMR untuk klaster. Selesaikan konfigurasi berikut di `LDAPConfiguration` blok di bawah`AuthenticationConfiguration`, atau di bidang yang sesuai di bagian Konfigurasi **Keamanan konsol** EMR Amazon:

**`EnableLDAPAuthentication`**  
Opsi konsol: **Protokol otentikasi:** LDAP  
Untuk menggunakan integrasi LDAP, setel opsi ini ke `true` atau pilih sebagai protokol otentikasi Anda saat Anda membuat klaster di konsol. Secara default, `EnableLDAPAuthentication` adalah `true` saat Anda membuat konfigurasi keamanan di konsol EMR Amazon.

**`LDAPServerURL`**  
Opsi konsol: Lokasi **server LDAP**  
Lokasi server LDAP termasuk awalan:. `ldaps://location_of_server`

**`BindCertificateARN`**  
Opsi konsol: Sertifikat **SSL LDAP**  
 AWS Secrets Manager ARN yang berisi sertifikat untuk menandatangani sertifikat SSL yang digunakan server LDAP. Jika server LDAP Anda ditandatangani oleh Public Certificate Authority (CA), Anda dapat memberikan AWS Secrets Manager ARN dengan file kosong. Untuk informasi selengkapnya tentang cara menyimpan sertifikat di Secrets Manager, lihat[Simpan sertifikat TLS di AWS Secrets Manager](emr-ranger-tls-certificates.md).

**`BindCredentialsARN`**  
Opsi konsol: **Server LDAP mengikat kredensyal**  
 AWS Secrets Manager ARN yang berisi pengguna admin LDAP mengikat kredensyal. Kredensyal disimpan sebagai objek JSON. Hanya ada satu pasangan kunci-nilai dalam rahasia ini; kunci dalam pasangan adalah nama pengguna, dan nilainya adalah kata sandi. Misalnya, `{"uid=admin,cn=People,dc=example,dc=com": "AdminPassword1"}`. Ini adalah bidang opsional kecuali Anda mengaktifkan login SSH untuk cluster EMR Anda. Dalam banyak konfigurasi, instance Active Directory memerlukan kredensyal bind untuk memungkinkan SSSD menyinkronkan pengguna.

**`LDAPAccessFilter`**  
Opsi konsol: Filter **akses LDAP**  
Menentukan subset objek dalam server LDAP Anda yang dapat mengautentikasi. Misalnya, jika semua yang ingin Anda berikan akses ke semua pengguna dengan kelas `posixAccount` objek di server LDAP Anda, tentukan filter akses sebagai`(objectClass=posixAccount)`.

**`LDAPUserSearchBase`**  
Opsi konsol: **Basis pencarian pengguna LDAP**  
Basis pencarian yang dimiliki pengguna Anda di dalam server LDAP Anda. Misalnya, `cn=People,dc=example,dc=com`.

**`LDAPGroupSearchBase`**  
Opsi konsol: **Basis pencarian grup LDAP**  
Basis pencarian yang dimiliki grup Anda di dalam server LDAP Anda. Misalnya, `cn=Groups,dc=example,dc=com`.

**`EnableSSHLogin`**  
Opsi konsol: **Login SSH**  
Menentukan apakah atau tidak untuk mengizinkan otentikasi password dengan kredensyal LDAP. Kami tidak menyarankan Anda mengaktifkan opsi ini. Pasangan kunci adalah rute yang lebih aman untuk memungkinkan akses ke cluster EMR. Bidang ini opsional dan default ke. `false` 

**`LDAPServerType`**  
Opsi konsol: Jenis **server LDAP**  
Menentukan jenis server LDAP yang terhubung dengan Amazon EMR. Opsi yang didukung adalah Active Directory dan OpenLDAP. Jenis server LDAP lainnya mungkin berfungsi, tetapi Amazon EMR tidak secara resmi mendukung jenis server lainnya. Untuk informasi selengkapnya, lihat [Komponen LDAP untuk Amazon EMR](ldap-components.md).

**`ActiveDirectoryConfigurations`**  
Sub-blok yang diperlukan untuk konfigurasi keamanan yang menggunakan jenis server Active Directory.

**`ADDomain`**  
Opsi konsol: **Domain Direktori Aktif**  
Nama domain yang digunakan untuk membuat User Principal Name (UPN) untuk otentikasi pengguna dengan konfigurasi keamanan yang menggunakan jenis server Active Directory.

## Pertimbangan untuk konfigurasi keamanan dengan LDAP dan Amazon EMR
<a name="ldap-setup-security-considerations"></a>
+ Untuk membuat konfigurasi keamanan dengan integrasi Amazon EMR LDAP, Anda harus menggunakan enkripsi dalam perjalanan. Untuk informasi tentang enkripsi dalam perjalanan, lihat[Enkripsi data saat istirahat dan dalam perjalanan dengan Amazon EMR](emr-data-encryption.md).
+ Anda tidak dapat menentukan konfigurasi Kerberos dalam konfigurasi keamanan yang sama. Amazon EMR menyediakan KDC thar didedikasikan untuk secara otomatis, dan mengelola kata sandi admin untuk KDC ini. Pengguna tidak dapat mengakses kata sandi admin ini.
+ Anda tidak dapat menentukan peran runtime IAM dan AWS Lake Formation dalam konfigurasi keamanan yang sama.
+ `LDAPServerURL`Harus memiliki `ldaps://` protokol dalam nilainya.
+ Tidak `LDAPAccessFilter` bisa kosong. 

## Gunakan LDAP dengan integrasi Apache Ranger untuk Amazon EMR
<a name="ldap-setup-ranger"></a>

Dengan integrasi LDAP untuk Amazon EMR, Anda dapat lebih berintegrasi dengan Apache Ranger. Saat Anda menarik pengguna LDAP Anda ke Ranger, Anda kemudian dapat mengaitkan pengguna tersebut dengan server kebijakan Apache Ranger untuk diintegrasikan dengan Amazon EMR dan aplikasi lainnya. Untuk melakukan ini, tentukan `RangerConfiguration` bidang `AuthorizationConfiguration` dalam konfigurasi keamanan yang Anda gunakan dengan klaster LDAP Anda. Untuk informasi selengkapnya tentang cara mengatur konfigurasi keamanan, lihat[Buat konfigurasi keamanan EMR](emr-ranger-security-config.md).

Saat Anda menggunakan LDAP dengan Amazon EMR, Anda tidak perlu menyediakan `KerberosConfiguration` integrasi EMR Amazon untuk Apache Ranger. 

# Luncurkan cluster EMR yang mengautentikasi dengan LDAP
<a name="ldap-setup-launch"></a>

Gunakan langkah-langkah berikut untuk meluncurkan cluster EMR dengan LDAP atau Active Directory. 

1. Siapkan lingkungan Anda:
   + Pastikan node pada cluster EMR Anda dapat berkomunikasi dengan Amazon S3 dan. AWS Secrets Manager Untuk informasi selengkapnya tentang cara mengubah peran profil instans EC2 Anda untuk berkomunikasi dengan layanan ini, lihat[Tambahkan AWS Secrets Manager izin ke peran instans EMR Amazon](ldap-setup-asm.md).
   + Jika Anda berencana untuk menjalankan klaster EMR Anda di subnet pribadi, Anda harus menggunakan dan titik akhir AWS PrivateLink Amazon VPC, atau menggunakan transalasi alamat jaringan (NAT) untuk mengonfigurasi VPC agar berkomunikasi dengan S3 dan Secrets Manager. Untuk informasi selengkapnya, lihat [AWS PrivateLink dan titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html) dan [instans NAT di Panduan Memulai](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_NAT_Instance.html) *VPC Amazon*.
   + Pastikan ada konektivitas jaringan antara cluster EMR Anda dan server LDAP. Cluster EMR Anda harus mengakses server LDAP Anda melalui jaringan. Node utama, inti, dan tugas untuk cluster berkomunikasi dengan server LDAP untuk menyinkronkan data pengguna. Jika server LDAP Anda berjalan di Amazon EC2, perbarui grup keamanan EC2 untuk menerima lalu lintas dari kluster EMR. Untuk informasi selengkapnya, lihat [Tambahkan AWS Secrets Manager izin ke peran instans EMR Amazon](ldap-setup-asm.md).

1. Buat konfigurasi keamanan EMR Amazon untuk integrasi LDAP. Untuk informasi selengkapnya, lihat [Buat konfigurasi keamanan Amazon EMR untuk integrasi LDAP](ldap-setup-security.md).

1. Sekarang setelah Anda menyiapkan, gunakan langkah-langkah [Meluncurkan klaster Amazon EMR](emr-gs.md#emr-getting-started-launch-sample-cluster) untuk meluncurkan klaster Anda dengan konfigurasi berikut:
   + Pilih Amazon EMR rilis 6.12 atau lebih tinggi. Kami menyarankan Anda menggunakan rilis EMR Amazon terbaru.
   + Hanya tentukan atau pilih aplikasi untuk klaster Anda yang mendukung LDAP. Untuk daftar aplikasi yang didukung LDAP dengan Amazon EMR, lihat. [Dukungan aplikasi dan pertimbangan dengan LDAP untuk Amazon EMR](ldap-considerations.md)
   + Terapkan konfigurasi keamanan yang Anda buat di langkah sebelumnya.

# Contoh menggunakan LDAP dengan Amazon EMR
<a name="ldap-examples"></a>

Setelah Anda [menyediakan kluster EMR yang menggunakan integrasi LDAP](ldap-setup-launch.md), Anda dapat memberikan kredensyal LDAP Anda ke [aplikasi apa pun yang didukung](ldap-considerations.md#ldap-considerations-apps) melalui mekanisme autentikasi nama pengguna dan kata sandi bawaannya. Halaman ini menunjukkan beberapa contoh.

## Menggunakan otentikasi LDAP dengan Apache Hive
<a name="ldap-examples-"></a>

**Example - Sarang Apache**  
Contoh perintah berikut memulai sesi Apache Hive melalui HiveServer 2 dan Beeline:  

```
beeline -u "jdbc:hive2://$HOSTNAME:10000/default;ssl=true;sslTrustStore=$TRUSTSTORE_PATH;trustStorePassword=$TRUSTSTORE_PASS"  -n LDAP_USERNAME -p LDAP_PASSWORD
```

## Menggunakan otentikasi LDAP dengan Apache Livy
<a name="ldap-examples-livy"></a>

**Example - Apache Livy**  
Contoh perintah berikut memulai sesi Livy melalui cURL. Ganti `ENCODED-KEYPAIR` dengan string yang dikodekan Base64 untuk. `username:password`  

```
curl -X POST --data '{"proxyUser":"LDAP_USERNAME","kind": "pyspark"}' -H "Content-Type: application/json" -H "Authorization: Basic ENCODED-KEYPAIR" DNS_OF_PRIMARY_NODE:8998/sessions
```

## Menggunakan otentikasi LDAP dengan Presto
<a name="ldap-examples-presto"></a>

**Example - Presto**  
Contoh perintah berikut memulai sesi Presto melalui CLI Presto:  

```
presto-cli --user "LDAP_USERNAME" --password --catalog hive
```
Setelah Anda menjalankan perintah ini, masukkan kata sandi LDAP pada prompt.

## Menggunakan otentikasi LDAP dengan Trino
<a name="ldap-examples-trino"></a>

**Example - Trino**  
Contoh perintah berikut memulai sesi Trino melalui Trino CLI:  

```
trino-cli --user "LDAP_USERNAME" --password --catalog hive
```
Setelah Anda menjalankan perintah ini, masukkan kata sandi LDAP pada prompt.

## Menggunakan otentikasi LDAP dengan Hue
<a name="ldap-examples-hue"></a>

Anda dapat mengakses Hue UI melalui terowongan SSH yang Anda buat di cluster, atau Anda dapat mengatur server proxy untuk menyiarkan koneksi ke Hue secara publik. Karena Hue tidak berjalan dalam mode HTTPS secara default, kami menyarankan Anda menggunakan lapisan enkripsi tambahan untuk memastikan bahwa komunikasi antara klien dan UI Hue dienkripsi dengan HTTPS. Ini mengurangi kemungkinan Anda secara tidak sengaja mengekspos kredensyal pengguna dalam teks biasa.

Untuk menggunakan UI Hue, buka UI Hue di browser Anda dan masukkan kata sandi nama pengguna LDAP Anda untuk masuk. Jika kredensialnya benar, Hue mencatat Anda dan menggunakan identitas Anda untuk mengautentikasi Anda dengan semua aplikasi yang didukung.

## Menggunakan SSH untuk otentikasi kata sandi dan tiket Kerberos untuk aplikasi lain
<a name="ldap-examples-ssh"></a>

**penting**  
Kami tidak menyarankan Anda menggunakan otentikasi kata sandi ke SSH ke dalam cluster EMR.

Anda dapat menggunakan kredensyal LDAP Anda ke SSH ke cluster EMR. Untuk melakukan ini, atur `EnableSSHLogin` konfigurasi ke `true` dalam konfigurasi keamanan Amazon EMR yang Anda gunakan untuk memulai cluster. Kemudian, gunakan perintah berikut untuk SSH ke cluster setelah diluncurkan:

```
ssh username@EMR_PRIMARY_DNS_NAME
```

Setelah Anda menjalankan perintah ini, masukkan kata sandi LDAP pada prompt.

Amazon EMR menyertakan skrip on-cluster yang memungkinkan pengguna membuat file dan tiket keytab Kerberos untuk digunakan dengan aplikasi yang didukung yang tidak menerima kredensyal LDAP secara langsung. Beberapa aplikasi ini termasuk`spark-submit`, Spark SQL, dan. PySpark

Jalankan `ldap-kinit` dan ikuti petunjuknya. Jika otentikasi berhasil, file tab Kerberos muncul di direktori home Anda dengan tiket Kerberos yang valid. Gunakan tiket Kerberos untuk menjalankan aplikasi seperti yang Anda lakukan di lingkungan Kerberized apa pun.