Переданные kerberos билеты, кэшируемые в/tmp вместо брелока для ключей

Я использую Ubuntu 14.04 и 16.04. Они настроены для кэширования билетов обочины в брелоке для ключей ядра через это начинающееся [libdefaults] раздел /etc/krb5.conf:

default_ccache_name = KEYRING:persistent:%{uid}

Это хорошо работает если я kinit (билеты действительно становятся кэшируемыми в брелоке для ключей). Однако, если я передаю билет полю, когда я ssh к нему (использование GSSAPIDelegateCredentials), билет кэшируется в /tmp каталог.

Я попытался установить следующее в [domain/company.org] раздел /etc/sssd/sssd.conf

krb5_ccname_template = KEYRING:persistent:%U

как предлагающий в sssd странице справочника, но это не имеет никакого эффекта.

Как я могу заставить переданные билеты кэшироваться в брелоке для ключей ядра и нет /tmp?