Пересылка билетов Kerberos без присоединения к домену/области ⇐ Linux

[Anonymous]

В моей организации используется Active Directory, которая использует Kerberos для аутентификации. У меня есть группа компьютеров, которым запрещено присоединяться к AD. Для аутентификации пользователя я настраиваю Kerberos и PAM, чтобы они указывали на сервер AD. После добавления пользователя в систему я могу войти в систему, используя свое имя пользователя и пароль AD. После входа в систему у меня есть билет. Это очень удобно, поскольку мне не нужно поддерживать отдельный набор учетных данных для пользователей.
Теперь я хотел бы настроить пересылку билетов между моей группой компьютеров, чтобы не Мне не придется каждый раз вводить пароль заново. Это не работает. Основываясь на моем элементарном понимании Kerberos, я думаю, что это не удается на этапе «TGS-REQ», где он пытается получить билет службы хоста. Поскольку мой хост не зарегистрирован/добавлен/не присоединен, я предполагаю, что KDC/AD не может его предоставить, и этот шаг не удался.
Мои вопросы?

• Правильна ли я, является ли это причиной моих проблем?
• Есть ли какой-нибудь способ обойти это, чтобы достичь цели единого входа с использованием кредитов AD ?
• Что, если я настрою свой собственный локальный KDC/AD/IDM. Есть ли способ указать это на основной AD?

Подробнее здесь: https://stackoverflow.com/questions/790 ... main-realm