Масштабируемость нескольких вкладок, клиент / сервер Linux NFS и Windows AD KDC

Я керберизовал NFSv3, работая с общим сервером NFS Linux и несколькими клиентами Linux с доменом Windows AD 2012 для области Kerberos.

Windows KDC требует, чтобы при создании keytab для аутентификации на сервере NFS вы должны сопоставить пользователя AD с субъектом службы (клиент Linux). Когда вы создаете keytab с помощью ktpass, вы вводите пароль этого пользователя, который является паролем, используемым для создания ключа.

Таким образом, чтобы создать нового участника-службы и, следовательно, отдельную таблицу ключей для каждого нового клиента Linux, я должен сопоставить каждый субъект-службу (клиент Linux) с уникальным субъектом-пользователем в AD.

Если я сопоставлю субъект-службу с тем же субъектом-пользователем, каждый раз, когда я запускаю ktpass, предыдущие таблицы ключей, созданные для других клиентов, перестают работать, поскольку ключ для этого пользователя изменяется. Поэтому вы обязаны создавать нового участника-пользователя для каждого субъекта-службы для каждого нового клиента, что кажется административным кошмаром.

Мои заметки здесь -

https://github.com/compendius/Kerberized-NFSv3-with-Active-Directory-KDC

В качестве обходного пути для этого, если я использую, скажем, первую вкладку, созданную для первого клиента Linux для всех клиентов Linux, это работает нормально и избавляет меня от необходимости создавать множество новых пользователей и каждый раз экспортировать новые вкладки. Этакий универсальный подход.

Итак, мой вопрос -

Предлагается ли обходной путь в духе Kerberos, поскольку, несмотря на его работу, он не может правильно идентифицировать клиентов Linux через определенных Принципалов обслуживания? (Я не уверен, так ли важно для keytab идентифицировать фактического клиента, поскольку пользователь впоследствии идентифицирует себя, аутентифицируясь с помощью kinit, чтобы фактически записывать данные в экспорт NFS)

Любое разъяснение было бы здорово