Par défaut, Kerberos vérifie que le KDC du principal d'hôte stocké dans le fichier local /etc/krb5/krb5.keytab file est identique au KDC qui a émis le ticket d'octroi de tickets (TGT). Ce contrôle, verify_ap_req_nofail, empêche les attaques par usurpation de DNS.
Toutefois, cette vérification doit être désactivée afin que les données de configuration client dans lequel l'hôte principal n'est pas disponible. Vérifiez les configurations suivantes a besoin de celui-ci à désactiver :
Le client adresse IP est affectée de manière dynamique DHCP, par exemple, un client.
Le client n'est pas configuré pour héberger les services, de sorte qu'aucun hôte principal n'a été créé.
La clé d'hôte n'est pas stockée sur le client.
Pour désactiver la vérification TGT, réglez l'option –verify_ap_req_nofail sur false dans le fichier krb5.conf. L'option –verify_ap_req_nofail peut être saisie dans la section [libdefaults] ou la section [realms] du fichier krb5.conf. Dans le section [libdefaults], le paramètre est utilisé pour tous les domaines :
client # pfedit /etc/krb5/krb5.conf [libdefaults] default_realm = EXAMPLE.COM verify_ap_req_nofail = false ...
Si l'option se trouve dans la section [realms], le paramètre s'applique uniquement au domaine défini. Pour plus d'informations sur cette option, reportez-vous à la page de manuel krb5.conf(4).