可以通过使用 kclient 配置实用程序或手动编辑文件来配置 Kerberos 客户机。该实用程序既可以在交互模式下运行,也可以在非交互模式下运行。在交互模式下,该实用程序将提示用户提供特定于 Kerberos 的参数值,以便能够在配置客户机时进行更改。在非交互模式下,用户需要提供包含参数值的文件。此外,在非交互模式下可以添加命令行选项。由于交互模式和非交互模式所需的步骤都比手动配置少,因此速度更快,也更不容易出错。
如果已启用以下设置,则无需对 Kerberos 客户机执行显式配置:
DNS 配置为返回 KDC 的 SRV 记录。
领域名称与 DNS 域名匹配,或者 KDC 支持引用。
Kerberos 客户机不要求使用与 KDC 服务器不同的密钥。
由于以下原因,您可能仍希望对 Kerberos 客户机执行显式配置:
零配置过程所执行的 DNS 查找次数比直接配置的客户机多,因此其效率比直接配置低。
如果不使用引用,零配置逻辑会根据主机的 DNS 域名来确定领域。这种配置会带来一定的安全风险,但风险比启用 dns_lookup_realm 要小得多。
pam_krb5 模块依赖于 keytab file(密钥表文件)中的主机密钥项。虽然可以在 krb5.conf 文件中禁用这项要求,但出于安全原因,不建议这样做。有关更多信息,请参见Kerberos 客户机登录安全性和 krb5.conf(4) 手册页。
有关客户机配置的完整说明,请参见配置 Kerberos 客户机。