Kerberos サービスが構成されている場合、ユーザーは、通常の Oracle Solaris パスワードと Kerberos パスワードの 2 つのパスワードを持っています。これらのパスワードは同じでも、異なっていても構いません。
PAM が正しく構成されている場合、Kerberos パスワードは 2 つの方法で変更できます。
passwd コマンドを使用します。Kerberos サービスが構成されていると、passwd コマンドでも新しい Kerberos パスワードを求めるプロンプトが自動的に表示されます。
passwd を使用すると、UNIX パスワードと Kerberos パスワードの両方を一度に設定できます。ただし、passwd で変更できるパスワードは 1 つだけであり、ほかのパスワードは変更されないままにします。
kpasswd コマンドを使用します。kpasswd は、Kerberos パスワードのみを変更します。UNIX パスワードを変更する場合は、passwd コマンドを使用する必要があります。
kpasswd の主な使用法として、有効な UNIX ユーザーではない Kerberos 主体のパスワードの変更があります。たとえば、jdoe/admin は Kerberos 主体であるが、実際の UNIX ユーザーではないため、そのパスワードは kpasswd を使用して変更する必要があります。
パスワードを変更したら、そのパスワードをネットワーク経由で伝播する必要があります。伝播に必要な時間は、Kerberos ネットワークのサイズに応じて、数分から 1 時間以上まで変動することがあります。パスワードを変更したあとすぐに新しい Kerberos チケットを取得する場合は、新しいパスワードをまず試してください。新しいパスワードが有効でない場合は、以前のパスワードを使用して再度試してください。
Kerberos ポリシーによって、パスワードに関する基準が定義されます。ユーザーごとにポリシーを設定することも、デフォルトポリシーを適用することもできます。ポリシーについては、Kerberos ポリシーの管理を参照してください。Kerberos パスワードに関して設定できる基準を一覧表示した例については、使用例 29 を参照してください。パスワードの文字クラスは、小文字、大文字、数字、区切り文字、およびその他のすべての文字です。
Oracle Solaris の場合と同様に、Kerberos には、リモートアクセスのための ssh コマンドが用意されています。インストールが終了すると、ssh コマンドは、ネットワークリクエストを受け入れる唯一のネットワークサービスになります。そのため、rlogin や telnet などの、Kerberos のために変更されたその他のネットワークサービスは無効になっています。詳細は、Kerberos ネットワークプログラムおよび Kerberos のユーザーコマンドを参照してください。