La configurazione di un client Kerberos 5 � meno impegnativa rispetto a quella del server. Dovete, come minimo, installare i pacchetti client e fornire a ciascun client un file di configurazione krb5.conf valido. Le versioni kerberizzate di rsh e rlogin necessitano anche di alcune modifiche.
Assicuratevi che il client kerberos e il KDC siano sincronizzati. Per maggiori informazioni in merito, consultate la Sezione 19.5. Accertatevi, inoltre, che il DNS funzioni correttamente sul client Kerberos prima di configurare i programmi relativi al client di Kerberos.
Installate i pacchetti krb5-libs e krb5-workstation su tutte le macchine client. Dovete anche fornire un file /etc/krb5.conf valido per ciascun client (in genere, si pu� utilizzare lo stesso krb5.conf usato dal KDC).
Prima che una workstation presente nel realm possa consentire agli utenti di collegarsi utilizzando versioni Kerberizzate di rsh e rlogin, occorre installarvi il pacchetto xinetd ed � necessario che il principal host sia incluso nel database di Kerberos. Anche per i programmi del serverkshd e klogind, sar� necessario l'accesso alle chiavi per i principal dei loro servizi.
Utilizzando kadmin, aggiungete un principal host alla workstation sul KDC. L'istanza, in questo caso, sar� l'hostname della postazione. Potete utilizzare l'opzione -randkey per addprinc appartenente al comando kadmin per creare il principal e assegnargli una chiave casuale:
addprinc -randkey host/blah.example.com
Una volta creato il principal, potete estrarre le chiavi per la workstation eseguendo kadmindirettamente sulla workstation e utilizzare il comando ktadd all'interno di kadmin:
ktadd -k /etc/krb5.keytab host/blah.example.com
Se desiderate utilizzare altri servizi di rete Kerberizzati, essi devono esseri prima avviati. Di seguito viene riportato un elenco dei servizi kerberizzati pi� comuni e le istruzioni su come abilitarli:
rsh e rlogin — Per utilizzare la versione Kerberizzata di rsh e rlogin, dovete abilitare klogin, eklogin e kshell.
Telnet — Per usare la versione kerberizzata di Telnet, dovete abilitare krb5-telnet.
FTP — Per l'accesso FTP, create ed estraete una chiave per un principal con una root di ftp. Assicurarsi di impostare l'istanza sull'hostname qualificato del server FTP, abilitate poi gssftp.
IMAP — Per utilizzare un server IMAP kerberizzato, il pacchetto cyrus-imap usa Kerberos 5 solo se � stato installato il pacchetto cyrus-sasl-gssapi. Il pacchetto cyrus-sasl-gssapi contiene i plugin Cyrus SASL i quali supportano l'autenticazione GSS-API. Cyrus IMAP dovrebbe funzionare correttamente con kerberos, fino a quando l'utente cyrus � in grado di trovare la chiave corretta in /etc/krb5.keytab, e root per il principal, � impostato su imap (creato con kadmin).
Il pacchetto dovecot contiene altres� un server IMAP alternativo a cyrus-imap, il quale � incluso con Red Hat Enterprise Linux, ma non supporta, per ora, GSS-API e Kerberos.
CVS — Per utilizzare un server CVS kerberizzato, gserver utilizza un principal con un root di cvs ed � identico al pserver del CVS.
Per maggiori dettagli su come abilitare i servizi, controllare il capitolo intitolato Controllo dell'accesso ai servizi nel Red Hat Enterprise Linux System Administration Guide.
