Les utilisateurs UNIX ne disposant pas de comptes utilisateur valables dans le domaine Kerberos par défaut peuvent être automatiquement migrés à l'aide de la structure PAM. Vous ajoutez, en particulier, le module pam_krb5_migrate.so à la pile d'authentification du service PAM. Les services sont alors configurés de sorte que, chaque fois qu'un utilisateur ne disposant pas d'un principal Kerberos parvient à se connecter à un système à l'aide de son mot de passe, un principal Kerberos est automatiquement créé pour celui-ci. Le mot de passe du nouveau principal est le même que le mot de passe UNIX. Pour obtenir des instructions à l'aide du module pam_krb5_migrate.so, reportez-vous à la section Configuration de la migration automatique des utilisateurs dans un domaine Kerberos.