Existem duas considerações diferentes aqui:
1) autenticação (validação de senha)
2) autorização (mapeamento de identidade / associação a grupos, etc)
Para clientes:
Você pode fazer autenticação (verificação de senha) via Kerberos de um cliente anônimo (sem domain-join / host-creds). No entanto, você perde a capacidade de fazer a validação de SSO e KDC do GSSAPI com os credenciais do host (/etc/krb5.keytab).
Para autorização, você precisa ser capaz de fazer ligações / buscas LDAP para os AD-DCs. Em geral, o AD não permite ligações LDAP anônimas, portanto, você precisa de algum tipo de credencial do lado do cliente. Um & explicitamente criado & manutenção de conta de serviço OU credenciais de host (criadas / mantidas por ingresso no domínio).
Nos seus arquivos ldap.conf ou sssd.conf, você pode listar credenciais explícitas de conta de serviço ou dizer para usar os credenciais de host. Se você tiver creds de host e usar o id_provider 'ad' no sssd, você obtém vantagens, como a manutenção automática de credito de host.
Observe que, se você quiser usar o AD para seu serviço de autorização, precisará adicionar informações de estilo do rfc2307 (por exemplo, uidNumber, gidNumber, etc) a todas as contas de usuário que deseja usar nos clientes Unix / Linux.
Para servidores:
Se eles forem fornecer qualquer serviço baseado em Kerberized / GSSAPI, eles devem ter credenciais de host (sejam unidos por domínio) e ter registros UPN / SPN válidos na conta de computador no AD. Pense no AD como fornecendo a funcionalidade do Kerberos KDC.
Por exemplo:
Se você tem um servidor de arquivos NFSv4 do Kerberized, é necessário que haja não apenas um SPN "host / F.Q.D.N" que precisa ser um SPN "nfs / F.Q.D.N" na conta & no arquivo krb5.keytab no servidor.