Hi, Geordie<br><br>I think it should be optional. here is one of my IPA client's krb5.conf<br><br># cat /etc/krb5.conf<br>#File modified by ipa-client-install<br><br>includedir /var/lib/sss/pubconf/krb5.include.d/<br><br>[libdefaults]<br>  default_realm = EXAMPLE.NET<br>  dns_lookup_realm = true<br>  dns_lookup_kdc = true<br>  rdns = false<br>  ticket_lifetime = 24h<br>  forwardable = yes<br>  udp_preference_limit = 0<br>  default_ccache_name = KEYRING:persistent:%{uid}<br><br><br>[realms]<br>  EXAMPLE.NET = {<br>    pkinit_anchors = FILE:/etc/ipa/ca.crt<br><br>  }<br><br><br>[domain_realm]<br>  .dev.example.net = EXAMPLE.NET<br>  dev.example.net = EXAMPLE.NET<br><br><div><div>Matrix<br><br></div><div style="font-size: 12px;font-family: Arial Narrow;padding:2px 0 2px 0;">------------------ Original ------------------</div><div style="font-size: 12px;background:#efefef;padding:8px;"><div><b>From: </b> "Geordie Grindle";<geordie.grindle@gmail.com>;</div><div><b>Date: </b> Thu, Jun 2, 2016 03:57 AM</div><div><b>To: </b> "freeipa-users"<freeipa-users@redhat.com>; <wbr></div><div></div><div><b>Subject: </b> [Freeipa-users] Is the krb5.conf no longer used?</div></div><div><br></div>Does IPA only use ¡®sssd.conf¡¯ for kerberos authentication? Is there another file used to configure kerberos? <br><br>I¡¯ve built a host using Foreman and our puppet configuration usually pushes a krb5.conf file. However, if I delete it, everything still works fine.<br><br>What if any function does /etc/krb5.conf have now?<br><br><snip><br><br>[root@ipa_client ggrindle]# cat /etc/krb5.conf<br>cat: /etc/krb5.conf: No such file or directory<br>[root@ipa_client ggrindle]# rpm -qa |grep ipa-client<br>ipa-client-3.0.0-37.el6.x86_64<br>[root@ipa_client ggrindle]# kdestroy<br>[root@ipa_client ggrindle]# kinit ggrindle<br>Password for ggrindle@DEV.EXAMPLE.COM:<br>[root@ipa_client ggrindle]# klist<br>Ticket cache: FILE:/tmp/krb5cc_0.1<br>Default principal: ggrindle@DEV.EXAMPLE.COM<br><br>Valid starting     Expires            Service principal<br>06/01/16 19:40:19  06/02/16 19:40:14  krbtgt/DEV.EXAMPLE.COM@DEV.EXAMPLE.COM<br><br>[root@ipa_client ggrindle]# tcpdump port 88<br>tcpdump: verbose output suppressed, use -v or -vv for full protocol decode<br>listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes<br>19:40:53.765163 IP ipa_client.test.dev.example.com.49228 > ipa_server.dev.example.com.kerberos:  v5<br>19:40:53.788043 IP ipa_server.dev.example.com.kerberos > ipa_client.test.dev.example.com.49228:<br>19:41:06.601826 IP ipa_client.test.dev.example.com.52896 > ipa_server.dev.example.com.kerberos:  v5<br>19:41:06.630012 IP ipa_server.dev.example.com.kerberos > ipa_client.test.dev.example.com.52896:  v5<br>^C<br>4 packets captured<br>6 packets received by filter<br>0 packets dropped by kernel.kerberos:  v5<br><br></snip><br><br>-- <br>Manage your subscription for the Freeipa-users mailing list:<br>https://www.redhat.com/mailman/listinfo/freeipa-users<br>Go to http://freeipa.org for more info on the project</div>