CentOS 6 AD Authentication с SSSD: зачем получать билет на основе хоста после присоединения к домену

Следующие два документа от Red Hat объясняют процесс добавления серверов в домен AD. Версии RHEL разные, но шаги применимы к обеим.

Страница 17 из: https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/pdf/Windows_Integration_Guide/Red_Hat_Enterprise_Linux-7-Windows_Integration_Guide-en-US.pdf

Шаг 3-d, система добавляется в домен, затем перечисляются ключи на вкладке ключей хоста, чтобы убедиться, что есть основные ключи хоста:

# klist -k

Инструкции в этом документе не требуют получения TGT с помощью keytab хоста.

На странице 61 шаг 7 "https://access.redhat.com/sites/default/files/attachments/rhel-ad-integration-deployment-guidelines-v1.5.pdf", TGT на основе хоста получается путем выполнения:

# kinit -­k <hostname>$

Где мы используем этот хост на основе TGT?

С хостом TGT или без него я могу добавлять серверы Linux в домен AD и заставлять пользователей входить в систему, используя свои учетные данные AD.

Играет ли это какую-то роль в обновлении вкладки ключа хоста, когда AD меняет пароль компьютера каждые 30 дней?

Другой связанный вопрос заключается в том, что когда я перечисляю ключи хоста, я вижу, что просроченный (и дата продления прошла) все еще перечислены:

# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: TESTHOST$@AD.EXAMPLE.COM

Valid starting     Expires            Service principal
06/10/17 12:59:41  06/10/17 22:59:41  krbtgt/AD.EXAMPLE.COM@AD.EXAMPLE.COM
        renew until 06/11/17 12:59:41
# date
Mon Jun 12 14:14:21 UTC 2017

Является ли klist нормальным распечатывать билеты с истекшим сроком действия? Когда klist удаляет их из печати?

Спасибо