PAM が正しく構成されている場合、Kerberos パスワードは 2 つの方法で変更できます。
passwd コマンドを使用します。Kerberos サービスが構成されていると、passwd コマンドでも新しい Kerberos パスワードを求めるプロンプトが自動的に表示されます。
passwd を使用すると、UNIX パスワードと Kerberos パスワードの両方を一度に設定できます。ただし、passwd で変更できるパスワードは 1 つだけであり、ほかのパスワードは変更されないままにします。
kpasswd コマンドを使用します。kpasswd は、Kerberos パスワードのみを変更します。UNIX パスワードを変更する場合は、passwd コマンドを使用する必要があります。
kpasswd の主な使用法として、有効な UNIX ユーザーではない Kerberos 主体のパスワードの変更があります。たとえば、jdoe/admin は Kerberos 主体であるが、実際の UNIX ユーザーではないため、そのパスワードは kpasswd を使用して変更する必要があります。
パスワードを変更したら、そのパスワードをネットワーク経由で伝播する必要があります。伝播に必要な時間は、Kerberos ネットワークのサイズに応じて、数分から 1 時間以上まで変動することがあります。パスワードを変更したあとすぐに新しい Kerberos チケットを取得する場合は、新しいパスワードをまず試してください。新しいパスワードが有効でない場合は、以前のパスワードを使用して再度試してください。
Kerberos ポリシーによって、パスワードに関する基準が定義されます。ユーザーごとにポリシーを設定することも、デフォルトポリシーを適用することもできます。ポリシーについては、Kerberos ポリシーの管理を参照してください。Kerberos パスワードに関して設定できる基準を一覧表示した例については、Example 5–9 を参照してください。パスワードの文字クラスは、小文字、大文字、数字、区切り文字、およびその他のすべての文字です。