Безопасная настройка Livy, HDFS и Kerberos с клиентским сервером

Следующая настройка:

• Сервер приложений, имеющий собственное управление пользователями, размещенный для доступа к общедоступному Интернету.
• Живой, доступный только для сервера приложений
• Проверка подлинности Kerberos для Livy. Единственными принципалами в Kerberos являются Livy как сервис и сервер приложений как клиент. Пользовательские сессии изолированы от подражания. Поэтому, если пользователь хочет создать новый сеанс, сервер приложений вызывает конечную точку сеансов с прокси-пользователем. 1-й вопрос: выдавший себя за пользователя не должен жить в Kerberos, верно? Но как это на самом деле работает, это безопасно? Информация о том, что пользователю разрешено запускать операторы о том, какой сеанс сохраняется на сервере приложений. Таким образом, операторы всегда проходят проверку подлинности у пользователя сервера приложений, поскольку у Livy нет олицетворения для операторов, может ли это работать или не может Livy защитить отчеты? Кроме того, защищает ли Livy сеть, доступ файловой системы к коду, представленному в выписках? Как можно предотвратить то, что пользователь читает файлы, которые принадлежат другому сеансу искры?
• Ливийская группа, достижимая Ливией
• HDFS как источник данных Когда мы выдавали себя за какого-то пользователя с помощью Livy, как нам рассказать об этом HDFS? Также еще раз: Как можно обеспечить здесь заявления, так как они, кажется, не предлагают олицетворение?

Заранее спасибо.