客户机配置选项

kclient 配置实用程序是 Solaris 10 发行版的新功能。该实用程序既可以在交互模式下运行，也可以在非交互模式下运行。在交互模式下，系统会提示用户输入 Kerberos 特定的参数值，以便用户在配置客户机时能够更改现有的安装。在非交互模式下，将会使用包含事先设置的参数值的文件。另外，在非交互模式下可以使用命令行选项。无论是交互模式还是非交互模式，需要的步骤都比手动过程要少，因此可以加速操作过程，也更不容易出错。

Solaris Express Developer Edition 1/08 发行版做了一些更改，以配合零配置 Kerberos 客户机。如果您的环境遵照了下列规则，将无需对 Solaris Kerberos 客户机执行显式配置步骤：

• DNS 配置为返回 KDC 的 SRV 记录。

• 领域名称与 DNS 域名匹配，或者 KDC 支持引用。

• Kerberos 客户机不需要 keytab 文件。

有些情况下，最好显式配置 Kerberos 客户机。

• 如果不使用引用，零配置逻辑会根据主机的 DNS 域名来确定领域。这会带来一定的安全风险，但风险比启用 dns_lookup_realm 要小得多。

• pam_krb5 模块依赖于 keytab 中的主机密钥项。这一要求可以在 krb5.conf 文件中禁用，但是出于安全原因，不建议这样做。请参见 krb5.conf(4) 手册页。

• 零配置过程比直接配置效率要低，且对 DNS 有更强的依赖性。该过程比直接配置客户机执行更多的 DNS 查找。

有关所有客户机配置过程的说明，请参见配置 Kerberos 客户机。