Acabei usando o authconfig afterall, o que significa que eu tive que preparar um ambiente totalmente kerberizado.
authconfig --enablewinbindkrb5 --update
Nota para qualquer outra pessoa que esteja planejando usar isso, este comando atualiza a pilha do PAM, eu acredito que invalida a configuração em /etc/security/pam_winbind.conf e também modifica o /etc/samba/smb.conf.
Para usá-lo corretamente, a máquina deve ter um krb5.conf válido, pertencer ao domínio e ter um keytab de sistema válido.
Em seguida, em cada login bem-sucedido do ssh, uma chave krbtgt será criada, permitindo a geração e uso de tickets para autenticação. Isso significa que o ssh não pedirá uma senha para entrar no próximo servidor se ele tiver uma configuração kerberizada adequada.