En el inicio de sesión, un cliente utiliza el módulo pam_krb5 para verificar que el KDC que emitió los últimos TGT sea el mismo KDC que emitió el principal de host de cliente que se almacena en el archivo /etc/krb5/krb5.keytab. El módulo pam_krb5 verifica el KDC cuando el módulo está configurado en la pila de autenticación. Para algunas configuraciones, como los clientes DHCP que no almacenan un principal de host de cliente, esta verificación se debe desactivar. Para desactivar esta verificación, debe definir la opción –verify_ap_req_nofail en el archivo krb5.conf como false. Para obtener más información, consulte Cómo desactivar la verificación del ticket de otorgamiento de tickets.