Puede configurar clientes Kerberos mediante la utilidad de configuración kclient o editando manualmente archivos. La utilidad se ejecuta en modo interactivo y el modo no interactivo. En modo interactivo, se le pedirá que indique valores de parámetros específicos de Kerberos, de modo que puede realizar cambios al configurar el cliente. En el modo no interactivo, debe proporcionar un archivo con los valores de parámetros. También se pueden agregar opciones de línea de comandos en el modo no interactivo. Dado que los modos interactivos y no interactivo necesitan menos pasos que la configuración manual, son más rápidos y menos proclives a errores.
Si la siguiente configuración está en vigor, no es necesaria una configuración explícita de su cliente Kerberos:
DNS está configurado para devolver registros SRV para los KDC.
El nombre de dominio coincide con el nombre de dominio DNS o KDC admite referencias.
El cliente Kerberos no necesita claves distintas de las claves del servidor KDC.
Aún puede que desee configurar explícitamente el cliente Kerberos por los siguientes motivos:
El proceso de configuración cero realiza más búsquedas de DNS y, por lo tanto, es menos eficaz que la configuración directa que un cliente configurado directamente.
Si las referencias no se utilizan, la lógica de configuración cero depende del nombre de dominio DNS del host para determinar el dominio. Esta configuración presenta un pequeño riesgo de seguridad, pero el riesgo es mucho menor que si se activa dns_lookup_realm.
El módulo pam_krb5 se basa en una entrada de clave de host en la archivo keytab. Si bien es posible desactivar este requisito en el archivo krb5.conf, esto no se recomienda por razones de seguridad. Para obtener más información, consulte Seguridad de inicio de sesión de cliente Kerberos y la página del comando man krb5.conf(4).
Para obtener una descripción completa de la configuración de cliente, consulte Configuración de clientes Kerberos.