Сохранение / получение пароля kinit из shellscript

Я автоматизирую подготовку виртуальной машины в кеберизованной среде. После создания нового сервера ему необходимо присоединиться к сети. Для этого мне нужно войти на сервер Kerberos, используяkinit а затем используйте net ads join.

Проблема для меня заключается в том, где я могу сохранить пароль принципала, который мне нужно передать kinit, и как мне безопасно его получить. Конечно, требование состоит в том, чтобы программа автоматизации была единственной, которая может извлекать пароль из того места, где он хранится. Варианты, которые я рассмотрел до сих пор: 1) Я уже знаю вариант хранения пароля в хранилище (Hashicorp, Cyber ​​Ark и т. Д.), Но его реализация / управление занимает слишком много времени, а затем это дорого. 2) Сохраните зашифрованный пароль на другой виртуальной машине (в той же частной сети) в переменной среды и во время выполнения ssh в эту виртуальную машину и получите пароль, расшифруйте его, а затем перенесите его на вновь созданную виртуальную машину.

Кто-нибудь из экспертов по безопасности видит проблемы с (2)? Если да, то что это? Какие еще варианты существуют, если они есть?

заранее спасибо