Como conectar o Kerberos com vários servidores LDAP?

Minha tarefa real é tornar nosso cluster Kerberized Hadoop utilizável por todas as nossas equipes. No momento, temos uma configuração muito estranha em nossa empresa:

1. O cluster do Hadoop tem um KDC dedicado (o openSUSE Kerberos com LDAP backend)
2. Temos uma listagem LDAP secundária, sem KDC (com permissões r / w)
3. Temos o Microsoft AD com o LDAP, tanto em somente leitura quanto de acordo com a política de segurança, não é permitida a confiança entre territórios do AD para o Hadoop Kerberos. O AD-LDAP está no modo somente leitura.

E agora, minha tarefa é permitir que os usuários do LDAP secundário e do AD-LDAP usem o Hadoop, portanto, o KDC dedicado deve conhecê-los de alguma forma.

O que eu estou pensando é:

• Talvez eu possa adicionar os diretórios LDAP somente leitura como back-end adicional do Kerberos?
• Posso instalar Kerberos adicionais que gerenciariam esses LDAPs com domínio adicional (por exemplo, e.x. @LDAP & @ADLDAP ou similar). Em seguida, crie uma confiança entre domínios. No entanto, eu tenho permissões de gravação apenas no LDAP secundário, não no AD-LDAP, portanto, não vejo como adicionar a confiança entre territórios que facilmente existe.
• Eu poderia tentar definir algum tipo de conversão de nome, para que o usuário ldapsearch permitido fosse visto como krbtgt/HADOOP@ADLDAP .