Kerberos Keytab, несколько SPN и ktpass

Env: Windows Server2012 (AD + Kerberos) Клиент: HDP 2.5 на Centos 7.2

Я пытаюсь настроить Kerberos для Ambari Services, используя Active Directory вместе с Kerberos. Все учетные записи настройки являются именами SPN, прикрепленными к одной учетной записи Windows.

1 - я подключил 2 SPN к одной учетной записи Windows (HDPUSER):

setspn -A nn/HDFS.nn.fr@MYCOM.FR HDPUSER
setspn -A dn/HDFS.dn.fr@MYCOM.FR HDPUSER

2 - я создал первый keytab, используя ktpass:

> ktpass -princ nn/HDFS.nn.fr@MYCOM.FR -pass * -mapuser MYCOM\HDPUSER -crypto all -ptype KRB5_NT_PRINCIPAL -out hdfs.keytab

2 - Я добавил второй SPN к той же таблице ключей:

> ktpass -princ dn/HDFS.dn.fr@MYCOM.FR -pass * -mapuser MYCOM\HDPUSER -crypto all -ptype KRB5_NT_PRINCIPAL -in hdfs.keytab -out nn.dn.keytab -setupn -setpass

3 - я перенес "nn.dn.keytab" в свой клиент linux и настроил krb5.conf 4 - я проверил по первому принципалу

kinit -V -k -t /tmp/nn.dn.keytab nn/HDFS.nn.fr@MYCOM.FR

Результат был: Аутентифицирован в Kerberos v5

5. Теперь проблема в том, что когда я пытаюсь подключиться, используя второй принципал, я получаю сообщение об ошибке:

kinit -V -k -t /tmp/nn.dn.keytab dn/HDFS.dn.fr@MYCOM.FR

В результате получилось: kinit: клиент 'dn/HDFS.dn.fr@MYCOM.FR' не найден в базе данных Kerberos при получении начальных учетных данных

Когда я открываю keytab с помощью kutil, я вижу двух пользователей со всеми желаемыми шифрованиями и с тем же kvno.

Любые советы о том, как с этим бороться?