GSSAPI в Linux, когда обратный поиск DNS не соответствует суффиксу DNS AD

У меня есть сервер CentOS 6, который был подключен к Active Directory с помощью Samba и net ads join -k,

Таким образом, у него есть keytab как это:

Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   1 host/myhost.ad.example.com@AD.EXAMPLE.COM
   1 host/myhost.ad.example.com@AD.EXAMPLE.COM
   1 host/myhost.ad.example.com@AD.EXAMPLE.COM
   1 host/myhost.ad.example.com@AD.EXAMPLE.COM
   1 host/myhost.ad.example.com@AD.EXAMPLE.COM
   1 host/MYHOST@AD.EXAMPLE.COM
   1 host/MYHOST@AD.EXAMPLE.COM
   1 host/MYHOST@AD.EXAMPLE.COM
   1 host/MYHOST@AD.EXAMPLE.COM
   1 host/MYHOST@AD.EXAMPLE.COM
   1 MYHOST$@AD.EXAMPLE.COM
   1 MYHOST$@AD.EXAMPLE.COM
   1 MYHOST$@AD.EXAMPLE.COM
   1 MYHOST$@AD.EXAMPLE.COM
   1 MYHOST$@AD.EXAMPLE.COM

Используя OpenSSH и pam_krb5, я также могу аутентифицироваться с помощью GSSAPI, когда обратный поиск DNS - myhost.ad.example.com. Все идет нормально.

Дело в том, что по разным причинам я хотел бы, чтобы обратный поиск DNS для сервера был myhost.example.org. Это вообще возможно?

"host/myhost.example.org@AD.EXAMPLE.COM" должен быть совершенно допустимым принципалом Kerberos, но если я попытаюсь добавить myhost.example.org в качестве имени субъекта службы в Active Directory, net ads join -k завершается с ошибкой "не удалось установить машину spn: ограничение ограничения".

Если я пытаюсь добавить записи PTR как для myhost.ad.example.com, так и для myhost.example.org, я получаю интересное поведение, при котором я могу войти в систему с помощью GSSAPI при любой другой попытке.

http://web.mit.edu/kerberos/krb5-1.13/doc/admin/princ_dns.html предлагает ряд предложений. Я попытался добавить "rdns = false" (krb5.conf) на клиенте, а также "ignore_acceptor_hostname = true" (krb5.conf) и "GSSAPIStrictAcceptorCheck no" (sshd_config) на сервере. Это, кажется, не имеет никакого значения вообще.