> Хорошо. GSSAPI сказал, что vitto это vitto. Но кто должен сказать, что
> это доменный vitto, а не локальный? И на каком основании?

GSSAPI сказал, что это доменный principal vitto@MARKET или MARKET\vitto или ещё какой там синтаксис, он про локальных не знает ничего и знать не должен.

PAM/NSS (через pam_winbind или pam_ldap) по своим картам или правилам (idmap) смотрят, как MARKET\vitto назвать локально (например, root) и в какие группы включить. Группы имеют какие-то права на хосте, это то, что будет ему позволено делать локально.