GSSAPI на Linux, когда обратный поиск DNS не соответствует AD суффиксу DNS

У меня есть сервер CentOS 6, который был соединен с Active Directory с помощью Samba и net ads join -k.

Это таким образом имеет keytab как это:

Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   1 host/myhost.ad.example.com@AD.EXAMPLE.COM
   1 host/myhost.ad.example.com@AD.EXAMPLE.COM
   1 host/myhost.ad.example.com@AD.EXAMPLE.COM
   1 host/myhost.ad.example.com@AD.EXAMPLE.COM
   1 host/myhost.ad.example.com@AD.EXAMPLE.COM
   1 host/MYHOST@AD.EXAMPLE.COM
   1 host/MYHOST@AD.EXAMPLE.COM
   1 host/MYHOST@AD.EXAMPLE.COM
   1 host/MYHOST@AD.EXAMPLE.COM
   1 host/MYHOST@AD.EXAMPLE.COM
   1 MYHOST$@AD.EXAMPLE.COM
   1 MYHOST$@AD.EXAMPLE.COM
   1 MYHOST$@AD.EXAMPLE.COM
   1 MYHOST$@AD.EXAMPLE.COM
   1 MYHOST$@AD.EXAMPLE.COM

Используя OpenSSH и pam_krb5, я могу также пройти проверку подлинности с GSSAPI, когда обратным поиском DNS является myhost.ad.example.com.Пока все хорошо.

Теперь, вещь состоит в том, что по различным причинам я хотел бы, чтобы обратным поиском DNS за сервер был myhost.example.org. Это даже возможно?

"host/myhost.example.org@AD.EXAMPLE.COM" должен быть совершенно допустимым принципалом Kerberos, но если я пытаюсь добавить myhost.example.org как услуга основное имя в Active Directory, net ads join -k сбои с "неудавшимся для установки машины spn: Ограничительное нарушение".

Если я пытаюсь добавить записи PTR и для myhost.ad.example.com и для myhost.example.org, я получаю интересное поведение, что я могу войти в систему с любой попыткой GSSAPI.

http://web.mit.edu/kerberos/krb5-1.13/doc/admin/princ_dns.html имеет много предложений. Я попытался добавить "rdns = ложь" (krb5.conf) на клиенте, и "ignore_acceptor_hostname = верный" (krb5.conf) и "GSSAPIStrictAcceptorCheck не" (sshd_config) на сервере. Это, кажется, не имеет значения вообще.