如何在HadoopmapReduce中获取Kerberos而不是委派令牌

我是一名Java用户，在向Hadoop mapReduce提交作业时，它会使用Kerberos对Hadoop进行身份验证，成功后，会创建委派令牌，并随作业提交一起传递给Hadoop，而不是Kerberos票证（如Hadoop所述，出于安全原因）。现在作业以我的身份运行，但作业本身需要使用Kerberos向Hadoop之外的其他服务发送请求。现在我在Hadoop上没有kerberos TGT，我无法获得服务票证。

我是否可以将Kerberos票证与作业一起传递？（我知道这可能很危险，因为我们不想传递秘密），JobConf可以将字符串到字符串对传递给Hadoop，但我必须将TGT转换为json字符串，并在作业运行期间将其还原？

或者可以使用授权令牌改革TGT吗？

我试着用谷歌搜索了一下，但信息不多，有人能帮忙吗？非常感谢。

**编辑：**

如果不将TGT传递给Hadoop，似乎没有简单的方法可以做到这一点，所以我将尝试以下方法，通过作业配置映射将TGT作为字符串传递给Hadoop（仅限字符串），并在作业在Hadoop中运行时将字符串转换回TGT对象。令人担忧的是，我将通过网络传递凭据，这不是最佳做法，也是Hadoop为了安全起见没有传递Kerberos的原因之一。如果我可以重复使用传递给Hadoop的经过修改的TGT来获得服务票证，我将尽可能多地加密TGT字符串以避免安全问题。

因此，在本地机器中开始作业之前，代码如下：

import sun.security.krb5.Credentials;  
Credentials tgt = Credentials.acquireTGTFromCache(null, null); // Make sure kinit is done before this
String tgtStr = tgt.convertToJsonString(); //Need to implement this
Job job = new Job("Test");
JobConf jobConf = job.getJobConf();
jobConf.set("tgtStr", tgtStr);
job.addTask(Test.class, "run", null);
job.submit();
job.waitForCompletion(true);

那么Hadoop运行作业中的函数如下：

Configuration conf = TaskContext.get().getConfiguration();
String tgtStr = conf.get("tgtStr");
Credentials tgt = reformTGTFromString(tgtStr);//Need to implement this
Credentials serviceTicket = Credentials.acquireServiceCreds(servicePrincipal, tgt); //This is to get any service ticket

因此，我需要实现两个函数来将TGT对象（Credentials.class）流式传输到字符串，然后将其修改回对象。

有人知道更好的解决方案吗？谢谢