Você precisa unir a máquina linux ao AD, para que a conta da máquina e uma chave associada sejam criadas. net ads join
do pacote do Samba é uma maneira fácil de fazer isso. Eu acho que esta é a parte (apenas) que você precisa de privilégios de administrador do AD. Em seguida, você pode preencher o keytab com SPNs; Adicionar um registro do SPN à conta da máquina requer apenas o privilégio "Validar gravação no SPN".
Existe uma maneira de mapear SPNs (e entradas keytab) mapeadas para contas de domínio arbitrárias usando ktpass.exe
utility, mas isso certamente requer acesso ao controlador de domínio com privilégios administrativos.
Sem isso, você não poderá usar o AD como seu território do Kerberos. Existem outras opções como - como você sugeriu - configurar um ambiente Kerberos paralelo com o próprio KDC, o que envolveria também a configuração de todos os serviços que você deseja oferecer suporte a esse domínio.
O Kerberos não é o único pensamento da opção SSO. Um armazenamento criptografado de chave / senha integrada como o KWallet ou Apple Keychain pode fornecer uma sensação de SSO ainda melhor, embora exija configuração zero.
Espero que isso ajude.