Solaris 10 の新機能の 1 つに、kclient 設定ユーティリティーがあります。このユーティリティーは、対話型モードまたは非対話型モードで実行できます。対話型モードでは、ユーザーは、Kerberos 固有のパラメータ値を要求されます。このパラメータ値によって、クライアントの設定時に既存のインストールを変更することができます。非対話型モードでは、前もってパラメータ値が設定されたファイルが使用されます。また、非対話型モードではコマンド行オプションも使用できます。対話型モードでも非対話型モードでも手動の処理よりも手順が少なくてすむので、プロセスが迅速化され、ミスが起こりにくくなります。
Solaris 10 5/08 リリースでは、構成不要の Kerberos クライアントが可能になるように変更されました。環境内で次の規則に従うと、Solaris Kerberos クライアントには明示的な構成手順が必要なくなります。
DNS が、KDC 用の SRV レコードを返すように構成されている。
レルム名が DNS ドメイン名に一致するか、または KDC がリフェラルをサポートする。
Kerberos クライアントがキータブを必要としない。
場合によっては、Kerberos クライアントを明示的に構成する方がよいことがあります。
リフェラルが使用されていない場合、構成不要のロジックは、レルムを決定するためにホストの DNS ドメイン名に依存します。これにより若干のセキュリティーリスクが導入されますが、このリスクは dns_lookup_realm を有効にするよりはるかに軽微です。
pam_krb5 モジュールは、キータブ内のホスト鍵のエントリに依存します。この要件は krb5.conf ファイルで無効にすることができますが、セキュリティー上の理由からそれはお勧めできません。krb5.conf(4) のマニュアルページを参照してください。
構成不要のプロセスは直接の構成に比べて非効率的であり、しかも DNS に大きく依存します。このプロセスは、直接構成されたクライアントに比べて多数の DNS 検索を実行します。
クライアントの設定プロセス全体の詳細については、「Kerberos クライアントの構成」を参照してください。