De manera predeterminada, Kerberos comprueba que el KDC del principal del host que está almacenado en el archivo /etc/krb5/krb5.keytab local sea el mismo KDC que ha emitido el ticket de otorgamiento de tickets (TGT). Esta comprobación, verify_ap_req_nofail, evita ataques de falsificación de DNS.
Sin embargo, esta comprobación debe estar desactivada para las configuraciones de cliente donde el principal del host no está disponible. Las siguientes configuraciones requieren que esta comprobación esté desactivada:
A la dirección IP del cliente se le asigna dinámicamente, por ejemplo, un cliente DHCP.
El cliente no está configurado para hospedar servicios, por lo que no se ha creado ningún principal host.
La clave del host no se almacena en el cliente.
Para desactivar la verificación TGT, establezca la opción –verify_ap_req_nofail en false en el archivo krb5.conf. La opción –verify_ap_req_nofail se puede introducir en la sección [libdefaults] o [realms] del archivo krb5.conf. En la sección [libdefaults], este valor se utiliza para todos los dominios:
client # pfedit /etc/krb5/krb5.conf [libdefaults] default_realm = EXAMPLE.COM verify_ap_req_nofail = false ...
Si la opción está en la sección [realms], el valor sólo se aplica al dominio definido. Para obtener más información sobre esta opción, consulte la página del comando man krb5.conf(4).