Folgende RR's in die Zone eintragen

_kerberos.intern.darkrealm.dyndns.org		TXT	"INTERN.DARKREALM.DYNDNS.ORG"
_kerberos.intern.darkrealm.dyndns.org		SRV	1 0 89 shodan.intern.darkrealm.dyndns.org.
_kerberos-adm.intern.darkrealm.dyndns.org	SRV	1 0 777 shodan.intern.darkrealm.dyndns.org. (wird noch? nicht ausgewertet) 
_kerberos.intern.darkrealm.dyndns.org		SRV	1 0 89 shodan.intern.darkrealm.dyndns.org.
_kpasswd.intern.darkrealm.dyndns.org		SRV	1 0 464 shodan.intern.darkrealm.dyndns.org.

Das reicht um Rechner ohne /etc/krb5.conf auf den default realm hinzuweisen. Weil _kerberos-adm zurzeit noch nicht ausgewertet wird muss man folgendes in der /etc/krb5.conf eintragen:

[realms]
	INTERN.DARKREALM.DYNDNS.ORG = {
		admin_server = shodan.intern.darkrealm.dyndns.org:777
	}

Noch kein kinit nötig

Mount : mount shodan:/home /home -o sec=krb5p

Server: rpc.svcgssd braucht keytab /etc/krb5.keytab

rpc.svcgssd braucht explizit nfs/<fqdn> principal (erstmal egal welcher FQDN, aber der client kann nicht connecten wenn fqdn vom server nicht drinsteht)

Also in die keytab:

nfs/shodan.intern.darkrealm.dyndns.org

Client: Client sucht laut man rpc.gssd folgende Einträge in der keytab: (scheinbar geht es hier nur um machine credentials, egal wie der principal heisst)

          <HOSTNAME>$@<REALM>
          root/<hostname>@<REALM>
          nfs/<hostname>@<REALM>
          host/<hostname>@<REALM>
          root/<anyname>@<REALM>
          nfs/<anyname>@<REALM>
          host/<anyname>@<REALM>

Also in die keytab:

host/pxe.intern.darkrealm.dyndns.org

KVNO's müssen auf jedem Rechner gleich sein !

3. SSH mit -K

server scheint keytab-entry host/shodan.intern.darkrealm.dyndns.org zu brauchen.