Kerberos V5设置多KDC后,如果主KDC宕机,默认要等好久系统才会切换至从KDC验证,通过kdc_timeout参数可以设置等待KDC响应的超时时间,max_retries设置重试的次数,即切换时间=kdc_timeout*max_retries。
对应的krb5.conf设置如下:
[libdefaults]
default_realm = XXX.NET
default_checksum = rsa-md5
kdc_timeout = 3000
max_retries = 3
其中kdc_timeout的默认单位为毫秒。
krb5.conf的参数说明可参考:http://developer.apple.com/library/mac/#documentation/Darwin/Reference/Manpages/man5/krb5.conf.5.html