Межрегиональная аутентификация в Kerberos

У меня есть два отдельных кластера с двумя KDC соответственно. Я хочу установить перекрестную реальную аутентификацию, чтобы клиент в одном кластере мог получить доступ к сервису второго кластера. Я установил принципы кросс-царства в обоих KDC как

krbtgt/realm1@realm2 krbtgt/realm2@realm1

Теперь я не понимаю, как получить билеты для клиента, какой принципал следует использовать для подключения KDC2 через KDC1

Я ищу соединение такого типа

клиент ->KDC1 ---KDC2 ---> сервис