Ошибка 1. Считать Kerberos только настройкой аутентификации
На практике Kerberos меняет всю модель эксплуатации: как сервисы ходят друг к другу, как пользователи запускают Spark и Hive, как работают keytab, ticket cache, proxyuser и сервисные principal. Без предварительной карты взаимодействий легко получить кластер, где базовые демоны живы, но прикладные сценарии ломаются.
Ошибка 2. Не отделить внедрение от проверки результата
Нужны проверки до и после применения: наличие principal, права на keytab, корректность hostname, проверка kinit, базовые проверки HDFS/YARN/Hive/Spark и отдельная проверка Ranger-плагинов. Иначе изменение формально применено, но фактическая работоспособность остается неизвестной.
Ошибка 3. Включать безопасность без плана отката и коммуникации
Kerberos затрагивает команды платформы, ИБ и прикладные команды. Перед внедрением нужно зафиксировать окна изменений, порядок перезапуска, ответственных, критерии успеха и понятный откат-план без ручной магии.
Что делать правильно
Начинать с аудита текущих сценариев, собрать матрицу сервисов и пользователей, подготовить keytab и principal, прогнать тестовый контур, затем внедрять поэтапно с проверками. Такой подход снижает риск простоя и делает защищенный режим сопровождаемым.