デフォルトでは、Kerberos は、ローカルの /etc/krb5/krb5.keytab ファイル内に格納されているホスト主体の KDC がチケット認可チケット (TGT) を発行した KDC と同じであることを確認します。この確認 verify_ap_req_nofail によって、DNS へのなりすまし攻撃が防止されます。
ただし、ホスト主体を使用できないクライアント構成では、この確認を無効にする必要があります。次の構成では、この確認を無効にする必要があります。
クライアントの IP アドレスが動的に割り当てられる (DHCP クライアントなど)。
クライアントはサービスをホストするように構成されていないため、ホスト主体が作成されていない。
クライアントにホスト鍵が保存されていない。
TGT の確認を無効にするには、krb5.conf ファイル内の –verify_ap_req_nofail オプションを false に設定します。–verify_ap_req_nofail オプションは、krb5.conf ファイルの [libdefaults] または [realms] セクションに入力できます。[libdefaults] セクションに入力すると、その設定はすべてのレルムに使用されます。
client # pfedit /etc/krb5/krb5.conf [libdefaults] default_realm = EXAMPLE.COM verify_ap_req_nofail = false ...
このオプションを [realms] セクションに入力すると、その設定は定義されたレルムにのみ適用されます。このオプションの詳細は、krb5.conf(4) のマニュアルページを参照してください。