Windows - Kerberos SSO извне домена

Я пытался понять это сам, но безрезультатно. Google предлагает много уроков, но я не смог найти ни одного для приведенного ниже случая.

У нас есть внешний сотрудничающий сотрудник с VPN-доступом к нашей локальной сети, и ему необходимо получить доступ к некоторым нашим веб-приложениям. Его рабочая станция работает под управлением Windows 7 Professional. Веб-приложения могут принимать только SSO- аутентификацию на основе Kerberos - аутентификация пароля отключена из-за политики безопасности и не может быть изменена. Kerberos AS/KDC предоставляются доменом уровня Windows Server 2008 R2, членом которого его рабочая станция не является.

Как мы можем настроить аутентификацию Kerberos со своей рабочей станции, не добавляя ее в домен? До сих пор я только настраивал системы на основе UNIX с Kerberos. Под Windows я могу думать о двух разных решениях:

1. Установите внешние библиотеки Kerberos (т. Е. MIT Kerberos для Windows) - я предполагаю, что процесс настройки похож на UNIX (т. Е. Редактирование krb5.conf, установка области по умолчанию и включение определения местоположения KDC на основе DNS).

2. Настроить встроенный клиент Kerberos в Windows без добавления рабочей станции в домен - я не уверен, что это даже возможно.

Нам нужно заставить SSO работать в Mozilla Firefox. При условии, что мы используем первое решение, я предполагаю, что мы должны установить network.negotiate-auth.gsslib к внешнему пути DLL Kerberos. Может ли эта установка работать как положено? Из приведенных выше вариантов последний вариант является наиболее предпочтительным, поскольку мы хотели бы избежать внешних зависимостей и возможных несовместимостей.