To si z domácího počítače nahodíš VPNku do roboty, pak tím pustíš RDP na nějaký W10 stroj a na něm chceš pouštět SSH k tomu hejnu interních linuxů?
Pokud ano, tak mi to nasazení řešení s GSSAPI/Kerberos vychází nejrozumněji. Nebude při něm tvých soukromých citlivých autorizačních dat potřeba a nikde uloženo více, než je použito aktuálně. Putty to umí, jen potřebuješ pro ty linuxy zíkat systémové Kerberos klíče s příslušným SPN ve stejné doméně, v které máš účet na té W10 stanici. V podstatě, pokud na těch linuxech máš třeba i Sambu a tu začlenuješ do AD korporátní domény, tak během toho se patřičně vše vytvoří, pokud je Samba nastavena, aby používala systémový keytab (/etc/krb5.keytab). Nebo ti admin AD domény může to vygenerovat na ADčku a jen předat pro jednotlivé linux stroje, pokud se Samba nepoužívá.
Jiná možnost je, že použiješ certifikát uložený na čipové kartě. Mám čtečku u sebe, v ní kartu na které mám certifikát pro SSH, pro to RDP spojení do práce povolíš zpětný přístup na čtečku čipové karty a tam musíš použít variantu putty agenta s podporou čipové karty (když jsme to používali, tak to nebylo oficiální součástí Putty, byl to projekt zvlášť - PuTTY SC, jestli je to už v něm přímo teď, to nevím), takže certifikát máš u sebe a Putty si umí skrz toho agenta a kanál v RDP vyřídit autorizaci přes čipovku u tebe doma, takže tvůj tajný klíč neopouští bezpečí tvého domácího atomového krytu. :-)