Como um serviço pode autenticar outro que está registrado no Kerberos? No meu caso, ambos são de propriedade de contas de serviço diferentes, então eles não podem executar o kinit como um usuário comum pode, por exemplo, atualizando-o quando ele expira a cada 10 horas. Então, quando um serviço quer algo do outro, como ele obtém um tíquete Kerberos sem um TGT (tíquete de concessão de tíquete)?
Para ser mais específico, eu executo um servidor web Apache para fornecer acesso aos repositórios do Subversion. Sua conta de serviço e SPN (Service Principal Name) são registrados no Kerberos. Eu também executo um servidor Jenkins que às vezes precisa fazer checkout desses repositórios. Usuários comuns podem autenticar em ambos os servidores: no Apache somente após executar kinit e no Jenkins via LDAP. Como a conta de serviço Jenkins autentica no Apache para acessar um repositório do Subversion, já que ele não pode executar kinit a cada 10 horas, 24/7?
Isso parece similar, mas sem uma boa resposta. E o plugin Jenkins para Kerberos é para autenticar o usuário para Jenkins, não Jenkins para Apache. Há também essa solução obscura e obsoleta, mas não sei se ela se aplica mais. E a questão parece que deveria ser independente de qualquer servidor específico, apenas um servidor tentando autenticar para outro que está em Kerberos.