Несколько провайдеров Kerberos в Keycloak

У меня есть Keycloak с двумя разными провайдерами LDAP, которые включают аутентификацию Kerberos. Поставщик А имеет первый приоритет, поставщик Б — второй приоритет. Обе настройки провайдера предоставляют разные области Kerberos.

Мы говорим о двух AD с доверием к домену (если это имеет какое-то значение).

Вход в систему с использованием имени пользователя и пароля прекрасно работает с обоими провайдерами.

Вход с помощью билета Kerberos работает только для провайдера A с приоритетом 1. Попытка войти в систему с пользователем провайдера B вызывает успешное предоставление билета пользовательскому компьютеру, но не удается выполнить аутентификацию keycloak.

      WARN  [org.keycloak.federation.kerberos.impl.SPNEGOAuthenticator] (executor-thread-102) SPNEGO login failed: java.security.PrivilegedActionException: GSSException: Failure unspecified at GSS-API level (Mechanism level: Checksum failed)

Keycloak пытается войти в систему пользователя провайдера B с учетными данными Kerberos провайдера A (приоритет 1) и терпит неудачу, но больше не пытается использовать провайдера B.

Если поставщики A и B поменяют приоритеты, пользователь B сможет войти в систему, используя билет, но пользователь A не сможет войти с тем же сообщением об ошибке.

Есть ли способ указать keycloak попробовать обе области Kerberos?