Si el PAM se ha configurado correctamente, puede cambiar la contraseña de Kerberos de dos maneras.
Utilice el comando passwd. Con el servicio Kerberos configurado, el comando passwd también solicita automáticamente una nueva contraseña de Kerberos.
Al usar passwd, puede configurar las contraseñas de UNIX y Kerberos al mismo tiempo. Sin embargo, sólo puede cambiar una contraseña con passwd y dejar la otra contraseña sin modificar.
Use el comando kpasswd. kpasswd sólo cambia las contraseñas de Kerberos. Debe utilizar passwd si desea cambiar la contraseña de UNIX.
Un uso principal de kpasswd es cambiar una contraseña para un principal de Kerberos que no es un usuario de UNIX válido. Por ejemplo, jdoe/admin es un principal de Kerberos, pero no es un usuario de UNIX real, por lo que debe utilizar kpasswd para cambiar la contraseña.
Después de cambiar la contraseña, esta debe propagarse a través de la red. Según el tamaño de la red de Kerberos, el tiempo que se necesita para la propagación puede variar entre unos minutos y una hora o más. Si necesita obtener nuevos tickets de Kerberos poco tiempo después de cambiar la contraseña, pruebe la nueva contraseña primero. Si la contraseña nueva no funciona, vuelva a intentarlo utilizando la contraseña antigua.
La política de Kerberos define los criterios para las contraseñas. Puede definir una política para cada usuario o aplicar una política predeterminada. Para obtener información sobre políticas, consulte Administración de las políticas de Kerberos. Para ver un ejemplo que muestra los criterios que se pueden definir para contraseñas de Kerberos, consulte Example 5–9. Los caracteres de la contraseña son mayúsculas, minúsculas, números, puntuación y el resto de los caracteres.