> Методом проб и ошибок выяснилось, что сначала идет аутентификация и если она
> проходит успешно через GSSAPI, то начинает работать PAM, но уже не

Надо немного подправить - ты поленился почитать словарь.

Аутентификация - подтверждение аутентичности. То есть сравнить фотографию с мордой лица и сказать - "это он". Возможно, с доп. ритуалами - осветить фотографию ультрафиолетом, чтобы понять, что она не подменная, пробить номер документа по базе и проч.

Авторизация - зная, что это MARKET\vitto, разрешить нажимать в лифте кнопку "2", но не разрешать "3" и "4".

[...]
> А теперь вопрос к тем, кто глубже разбирается или в PAM или
> в GSSAPI. Каким образом имя пользователя на этапе auth меняется с
> vitto@market.local на MARKET\vitto?

Это слово - idmap.
https://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/...
Обрати внимание на первую картинку.

> Получается, что pam_winbind находит у себя пользователя с символом [at] и ищет
> его в своей базе, находит, а потом два варианта. Либо pam_winbind
> меняет имя пользователя и передает работу секции account, либо передает в
> account идентификатор пользователя.
> В первом случае, чтобы все заработало, нужно заставить GSSAPI делать тоже самое,

Не нужно GSSAPI заставлять, это не его забота. GSSAPI говорит - это корова. А пригодна ли она в пищу, решают PAM, LDAP, WINBIND, /etc/passwd и остальные.

> очень хорошо знаком с механизмом PAM и не могу найти информацию
> о таких тонкостях.

Ищи ещё. Там тебя поджидает ещё один сюрприз - это в Samba v3/Windows NT основным механизмом был winbind. А в новых Samba v4/Windows 2012 основным стал LDAP, со всеми вытекающими из него pam_ldap...

Напоследок - после того, как отработал pam, тебе нужно будет отработать login script (тот же /etc/profile), который, зная что это юзер XXX, создать ему /home/XXX и, скажем, примонтировать его каталог по, например, NFSv4. А когда юзер будет уходить, то отмонтировать его каталог и удалить /home/XXX.