Kerberos SSO / Делегирование с Apache и PAM

Я бы хотел Apache mod_gssapi для создания / делегирования билета Kerberos внутри Linux-сервера для подключения к «нисходящей» базе данных.

У меня есть Linux-сервер, который я интегрировал в область Active Directory с помощью realmd. Пользователи могут войти в систему локально и через веб-интерфейс RStudio, введя свое имя пользователя и пароль. Они видят свой билет в сеансе терминала RStudio websocket или локально с помощью klist.

Теперь я хотел бы добавить в архитектуру SSO с обратным прокси-сервером Apache перед RStudio. Обратите внимание, что прокси передает только имя пользователя в RStudio (используя X_AUTH_USER HTTP-заголовок) и без пароля.

Как мне получить билет Kerberos от Apache в сеанс терминала пользователя (стрелка (4) на втором рисунке), чтобы пользователь мог выполнить klist и получить доступ к нижестоящей базе данных?