Vous pouvez configurer des clients Kerberos à l'aide de l'utilitaire de configuration kclient ou en modifiant des fichiers manuellement. L'utilitaire s'exécute en mode interactif et non interactif. En mode interactif, vous êtes invité à saisir des valeurs de paramètre spécifiques aux Kerberos, de sorte que vous puissiez le modifier lors de la configuration du client. En mode non interactif, vous devez fournir un fichier avec les valeurs des paramètres. De plus, vous pouvez ajouter des options de ligne de commande en mode non interactif. Modes car le programme d'installation en mode et non interactif nécessitent moins d'étapes que la configuration manuelle, ils sont plus rapide et moins sujette à erreur.
Si la configuration suivante est activée, cela signifie qu'aucune configuration de votre client Kerberos explicite est nécessaire :
Le service DNS est configuré de façon à renvoyer des enregistrements SRV aux KDC.
Le nom de domaine correspond au nom de domaine DNS ou le KDC prend en charge les références.
Le client Kerberos ne requiert aucune clé différente des clés du serveur KDC.
Vous quand même souhaiterez peut - être configurer explicitement le client Kerberos pour les raisons suivantes :
Le processus sans configuration effectue plus les recherches DNS que les clients configurés directement, et est ainsi moins efficace que la configuration directe.
Si les références ne sont pas utilisées, la logique d'absence de configuration se base sur le nom de domaine DNS de l'hôte pour déterminer le domaine. Cette configuration introduit un petit risque pour la sécurité, mais celui-ci est beaucoup plus faible que l'activation de dns_lookup_realm.
Le module pam_krb5 s'appuie sur une entrée de clé d'hôte dans le fichier keytab. Bien que cette condition puisse être désactivée dans le fichier krb5.conf, cette opération n'est pas recommandé pour des raisons de sécurité. Pour plus d'informations, reportez-vous à la section Sécurité de connexion du client Kerberos et à la page de manuel krb5.conf(4).
Pour obtenir une description complète de la configuration client, reportez-vous à la section Configuration des clients Kerberos.