기본적으로 Kerberos는 로컬 /etc/krb5/krb5.keytab 파일에 저장된 호스트 주체의 KDC가 TGT(티켓 부여 티켓)를 발급한 KDC인지 검사합니다. 이 검사를 verify_ap_req_nofail이라고 하며 DNS 스푸핑 공격을 방지합니다.
하지만 호스트 주체를 사용할 수 없는 클라이언트 구성에 대해서는 이 검사를 사용 안함으로 설정해야 합니다. 다음은 이 검사를 사용 안함으로 설정해야 하는 구성입니다.
클라이언트 IP 주소가 동적으로 지정됩니다(예: DHCP 클라이언트).
클라이언트는 서비스를 호스트하도록 구성되지 않으므로 만들어진 host 주체가 없습니다.
호스트 키는 클라이언트에 저장되지 않습니다.
TGT 검사를 사용 안함으로 설정하려면 krb5.conf 파일의 –verify_ap_req_nofail 옵션을 false로 설정합니다. –verify_ap_req_nofail 옵션은 krb5.conf 파일의 [libdefaults] 또는 [realms] 섹션에 입력할 수 있습니다. [libdefaults] 섹션의 설정은 모든 영역에 사용됩니다.
client # pfedit /etc/krb5/krb5.conf [libdefaults] default_realm = EXAMPLE.COM verify_ap_req_nofail = false ...
[realms] 섹션에 옵션을 입력할 경우 정의된 영역에만 설정이 적용됩니다. 이 옵션에 대한 자세한 내용은 krb5.conf(4) 매뉴얼 페이지를 참조하십시오.