O serviço precisa para obter tickets do Kerberos de uma forma ou de outra - se não for uma senha, usando um keytab.
Crie a conta que quiser no Kerberos KDC, extraia suas chaves para um arquivo keytab. (Eu acho que você poderia usar o keytab host padrão para isso, mas um separado seria melhor para a segurança.)
Use k5start para obter ingressos usando o keytab. (Para testar, um one-shot kinit -k -t pode ser usado, mas o k5start - ou pelo menos um cronjob - é necessário para atualizá-los periodicamente.)
Por fim, defina KRB5CCNAME no ambiente do Apache apontando para o novo cache de tíquetes. (Isso seria feito editando o httpd.service ou o script init.d equivalente.)
Se o servidor tiver o MIT Kerberos 1.11 ou mais recente, isso pode ser feito de maneira mais simples usando a iniciação keytab recurso, colocando o keytab em /var/lib/krb5/user/<apacheuid>/client.keytab . Isso faz com que k5start e KRB5CCNAME sejam desnecessários.