登录后,客户机会使用 pam_krb5 模块验证颁发最新 TGT 的 KDC 是否与颁发客户机 host 主体(存储在 /etc/krb5/krb5.keytab 文件中)的 KDC 相同。在验证栈中配置 pam_krb5 模块后,该模块即可验证 KDC。对于有些配置,例如不存储客户机 host 主体的 DHCP 客户机,则需要禁用该项检查。要关闭该项检查,必须将 krb5.conf 文件中的 –verify_ap_req_nofail 选项设置为 false。有关更多信息,请参见禁用票证授予票证的验证。