Como de costume, descobri isso cinco minutos depois de postar. Para referência futura:
Ativar o GSSAPIKeyExchange corrigiu o problema para mim.
GSSAPIRenewalForcesRekey e GSSAPIStoreCredentialsOnRekey exigem que o GSSAPIKeyExchange seja ativado antes de parecer ter algum efeito. Em retrospectiva, faz algum sentido que a GSSAPI precise estar encarregada da troca de chaves, mas teria ajudado muito se a documentação apontasse este fato ...