关闭。这个问题需要更加突出重点。它目前不接受答案。
**想改进这个问题吗？**通过编辑这篇文章更新这个问题，使它只关注一个问题。

四年前关门了。
改进这个问题
为了部署一个安全的多租户cloudera集群。我们计划使用kerberos作为主要的身份验证机制。我们计划在这个集群上部署许多项目/应用程序。
在多租户环境中，我们探索了在kerberos中按组/项目组织用户的不同选项。
我们确定了以下可能性：
选项1:1 project=1个领域，包含参与项目的所有用户。
选项2：同一平台上所有项目的1个领域（1个平台=1个领域）+通过主体区分与项目关联的用户的规则。
语法：username/project@realm.com
例如：鲍勃/data_lake@mycompany.com
您对在多租户环境中使用kerberos的最佳实践有何反馈？
如果你还有其他选择，不要害怕分享