Hive远程认证的问题

各位好，我又来请教各位了。

事情是这样，我现在部署一套CDH5.3.3的集群，部署了Kerberos  & Sentry，但是部署完成后，发现一些问题，期望场景是通过这样部署实现可以从外网远程访问Hive并且认证&权限控制，支持多用户访问，限制用户的数据访问权限，但是现在kerberos部署在内网，我做端口转发把kerberos KDC&Hiveserver2映射到公网的话（尚未测试，开了一下午会= =），是否可以通过keytab实现认证（不用keytab的话是不是还要再开发一个客户端......），可以的话，这种形式是否安全？

然后就是sentry实现的权限管理看文档颗粒度还是比较粗，只有select、insert、all三个级别，那么假如我不用sentry，是否还有其他思路可以实现对Hive的远程认证+完整权限管理？

kerberos其实很多大的公司是不用的。
像阿里刚开始用过，但是出现很多问题，后来就自己开发了。

目前把kdc & hiveserver2的端口转发到另一个网络可以访问，在另一个网络的测试机上部署kerberos & hive，kinit通过了，但是beeline连接的时候一直报错Mechanism level: Failed to find any Kerberos tgt，目前依然还没找到原因= =

Kerberos部署了，浏览器访问hdfs可以？