В логах KDC обнаружил, что клиент пытается получить тикет для HTTP/srv.mydomain.smth.ru, т.е. CNAME хоста, а имя сервиса — HTTP. Информацию о том, какого сервиса ловить, сервер клиенту не предоставляет, используется well known, в данном случае HTTP.
Сделал такого принципла, выгрузил его в keytab, убрал KrbServiceName http — всё заработало.
