ログイン時に、クライアントは pam_krb5 モジュールを使用して、最新の TGT を発行した KDC が /etc/krb5/krb5.keytab ファイル内に格納されているクライアントのホスト主体を発行した KDC と同じであることを確認します。pam_krb5 モジュールは、認証スタックで構成されるときに KDC を確認します。クライアントのホスト主体を格納しない DHCP クライアントなどの一部の構成では、このチェックを無効にする必要があります。このチェックを無効にするには、krb5.conf ファイル内の –verify_ap_req_nofail オプションを false に設定する必要があります。詳細は、チケット認可チケットの確認の無効化を参照してください。