Kerberos クライアントは、kclient 構成ユーティリティーを使用するか、またはファイルを手動で編集することによって構成できます。このユーティリティーは、対話型モードおよび非対話型モードで動作します。対話型モードでは、Kerberos 固有のパラメータ値の入力を求められるため、クライアントの構成時に変更を行うことができます。非対話型モードでは、パラメータ値を含むファイルを指定します。また、非対話型モードでコマンド行オプションを追加することもできます。対話型モードでも非対話型モードでも必要とする手順は手動構成より少ないため、手順が迅速になるとともに、エラーも発生しにくくなります。
次の設定が有効な場合は、Kerberos クライアントの明示的な構成がまったく必要なくなります。
DNS が、KDC 用の SRV レコードを返すように構成されている。
レルム名が DNS ドメイン名に一致するか、または KDC がリフェラルをサポートする。
Kerberos クライアントが KDC サーバーの鍵とは異なる鍵を必要としない。
次の理由により、Kerberos クライアントの明示的な構成が引き続き必要になる場合があります。
構成不要のプロセスは、直接構成されるクライアントに比べて多くの DNS 検索を実行するため、直接の構成より効率が低下します。
リフェラルが使用されていない場合、構成不要のロジックは、レルムを決定するためにホストの DNS ドメイン名に依存します。この構成では若干のセキュリティーリスクが導入されますが、このリスクは dns_lookup_realm を有効にするよりはるかに軽微です。
pam_krb5 モジュールは、キータブファイル内のホスト鍵のエントリに依存します。この要件は krb5.conf ファイルで無効にすることができますが、セキュリティー上の理由からそれはお勧めできません。詳細は、Kerberos クライアントログインのセキュリティーおよび krb5.conf(4) のマニュアルページを参照してください。
クライアント構成の詳細は、Kerberos クライアントの構成を参照してください。