Windows - Kerberos SSO извне домена

Я пытался разобраться в этом сам, но безуспешно. Google предлагает множество руководств, но я не смог найти ни одного для случая ниже.

У нас есть внешний сотрудник, имеющий доступ к нашей локальной сети через VPN, и ему необходимо получить доступ к некоторым нашим веб-приложениям. Его рабочая станция работает под управлением Windows 7 Professional. Веб-приложения могут принимать только аутентификацию SSO на основе Kerberos - аутентификация по паролю отключена из-за политики безопасности и не может быть изменена. Kerberos AS / KDC предоставляется доменом уровня Windows Server 2008 R2 , членом которого его рабочая станция не является.

Как мы можем настроить аутентификацию Kerberos с его рабочей станции , не добавляя ее в домен ? До сих пор я использовал только для настройки систем на основе UNIX с Kerberos. Под Windows я могу придумать два разных решения:

1. Установить внешние библиотеки Kerberos (например, MIT Kerberos для Windows) - я предполагаю, что процесс настройки аналогичен UNIX (например, редактирование krb5.conf , установите область по умолчанию и включите определение местоположения KDC на основе DNS).

2. Настроить встроенный в Windows клиент Kerberos без добавления рабочей станции в домен - я не уверен, что это вообще возможно.

Нам нужно заставить SSO работать в Mozilla Firefox. При условии, что мы используем первое решение, я предполагаю, что мы должны установить network.negotiate-auth.gsslib на внешний путь Kerberos DLL. Может ли эта установка работать должным образом? Из вышеперечисленных вариантов настоятельно рекомендуется последний, так как мы хотели бы избежать внешних зависимостей и возможных несовместимостей.