Restringindo o acesso ssh ao servidor dentro de uma infraestrutura kerberos / ldap

Eu tenho uma infraestrutura MIT-Kerberos / OpenLDAP. Eu quero limitar o acesso ssh para meus usuários, de modo que apenas membros de um grupo específico tenham permissão para ssh em meus servidores. Quando acabei de ter o OpenLDAP sem o krb5, usei o pam_access para restringir os usuários:

 + : usersinternal : ALL
 - : ALL EXCEPT root : ALL

que fez exatamente o que eu queria; e ainda faz para PAM-Logins.

Meu problema é que todos os usuários podem fazer login usando o SSO:

me@workstation ~ % ssh [email protected]
[email protected]'s password: 
Permission denied, please try again.
# user cannot login 

me@workstation ~ % kinit test
Password for [email protected]: 
me@workstation ~ % ssh [email protected]
test@intern:~$ ## login successful, i am on the server
Connection to intern.example.com closed.

aqui está a parte GSSAPI do meu sshd_config:

root@intern ~ # grep -i gssapi /etc/ssh/sshd_config
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
GSSAPIKeyExchange yes

Eu acho que isso ocorre porque quando um usuário autentica com sucesso contra o krb5, o PAM-Part não é usado; Então, o que é uma boa maneira de limitar quem pode entrar? preferencialmente via grupo ou algo assim.