Kerberos et les modules d'authentification enfichables (PAM)

Actuellement, les services "kerbérisés" n'utilisent pas du tout les PAM — un serveur "kerbérisé" ignore complètement les PAM. Les applications utilisant des PAM peuvent se servir de Kerberos pour vérifier les mots de passe si le module pam_krb5 (contenu dans le paquetage pam_krb5) est installé. Le paquetage pam_krb5 contient des exemples de fichier de configuration qui permettent à des services tels que login et gdm d'authentifier des utilisateurs et d'obtenir des certificats d'identité initiaux à l'aide de leurs mots de passe. Pour autant que l'accès aux serveurs de réseau s'effectue toujours à l'aide de services "kerbérisés" (ou de services utilisant GSS-API, par exemple IMAP), le réseau peut être considéré comme raisonnablement sûr.

Un administrateur prudent n'ajoutera pas la vérification de mot de passe Kerberos aux services réseau, car la plupart des protocoles utilisés par ces services ne cryptent pas le mot de passe avant de l'envoyer sur le réseau — ce que vous souhaitez sans doute éviter.