hadoop - 如果我的hadoop(HDP)集群已经使用AD/LDAP，为什么还要对其进行Kerberise？

Question

我有一个HDP集群。
该群集配置为使用Active Directory作为身份验证和授权机构。更具体地说，在所述用户提供正确的用户名/密码组合之后，我们使用Ranger限制对HDFS目录，Hive表和Yarn队列的访问。
我受命使用Kerberise Cluster，这非常简单，这要归功于Ambari中的“按下按钮并跳过”之类的选项。
我们对测试集群进行了内核化。虽然与Hive进行交互不需要对集群计算机上的现有脚本进行任何修改，但是要找到最终用户从集群外部(PowerBI，DbVisualizer，PHP应用程序)与Hive进行交互的方法非常非常困难。
kerberising似乎带来了不必要的工作。
我会从Kerberising集群中获得什么具体的好处(除了让上面层级的人开心是因为，嘿，我们Kerberised了，哟)？
编辑:
好处之一:

对正在集群化的集群授予更高的安全性，因为该集群在linux计算机上运行，​​但是Active Directory公司无法处理此类操作系统。

Answer 1

具有AD / LDAP身份验证和授权的Ranger对于外部用户来说是可以的，但是AFAIK不能保证机器对机器或命令行交互的安全。
我不确定它是否仍然适用，但是在没有Kerberos的Cloudera集群上，您可以通过在命令行上设置环境参数HADOOP_USER_NAME来伪造登录名:

sh-4.1$ whoami
ali
sh-4.1$ hadoop fs -ls /tmp/hive/zeppelin
ls: Permission denied: user=ali, access=READ_EXECUTE, inode="/tmp/hive/zeppelin":zeppelin:hdfs:drwx------
sh-4.1$ export HADOOP_USER_NAME=hdfs
sh-4.1$ hadoop fs -ls /tmp/hive/zeppelin
Found 4 items
drwx------   - zeppelin hdfs          0 2015-09-26 17:51 /tmp/hive/zeppelin/037f5062-56ba-4efc-b438-6f349cab51e4

对于机器对机器的通信，Storm，Kafka，Solr或Spark等工具不受Ranger的保护，但受Kerberos的保护，因此只有专用进程才能使用这些服务。
资料来源: https://community.cloudera.com/t5/Support-Questions/Kerberos-AD-LDAP-and-Ranger/td-p/96755
更新:显然，从那时起，Rafer中就实现了Kafka和Solr集成。