Eu usei strace para ver que o gssproxy estava procurando pelo keytab em /var/kerberos/krb5/user/48/client.keytab. Eu também precisava definir o contexto do selinux:
chcon -t krb5_keytab_t /var/kerberos/krb5/user/48/client.keytab
ls -lZ /var/kerberos/krb5/user/48/client.keytab
-r--------. apache apache unconfined_u:object_r:krb5_keytab_t:s0 /var/kerberos/krb5/user/48/client.keytab
Parece que a sub-rotina HTTP está tomando precedência sobre a sub-rotina nfs-client para o UID 48.