現在のところ、kerberos化されたサービスは、まったくPAM(Pluggable Authentication Modules)を利用していません。つまり、kerberos化されたサービスは完全にPAMをバイパスします。—PAMを使用したアプリケーションであっても、pam_krb5モジュール(pam_krb5パッケージで提供されます)がインストールされているならば、パスワードチェックに関してKerberosを利用することができます。pam_krb5パッケージには、loginやgdmなどのサービスが、ユーザーを認証したり、ユーザーのパスワードを使って初期証明書を取得したりすることを可能にする、サンプルの設定ファイルが含まれています。ネットワークサービスに対するアクセスが、常にkerberos化されたサービスまたはIMAPなどのGSS-APIを使用したサービスを使用して行われるならば、そのネットワークはかなり安全だと考えることができます。
注意深いシステム管理者ならば、Kerberosのパスワードチェックをいずれのネットワークサービスにも追加することはないでしょう。—なぜならば、そのようなサービスで使用するプロトコルのほとんどは、ネットワーク経由で送信する前にパスワードを暗号化しないからです。明らかに、これは回避すべきことです。
次の章では、基本的なKerberosサーバーの構築方法を説明します。