Отвечать на Ваши вопросы,
Да, веб-сервер и Браузер/клиент должны соединиться с KDC для проверки билетов. Необходимо сделать вход в систему kinit/domain для получения TGT, и далее webbrowser заставит сервисный билет HTTP получать доступ к веб-серверу.
Представление kerberos/domaincontroller в Интернете не является хорошей практикой. Попытайтесь использовать webauth.
Firefox уже поддерживает gss-api, согласовывают методы. Все, что необходимо сделать, делают kinit и настраивают согласовывать-автора в about:config http://grolmsnet.de/kerbtut/firefox.html и получают доступ веб-странице. Если Вы используете апачскую проверку mod_auth_kerb. Lighttpd также имеет некоторую поддержку kerberos.
Таким образом, модуль - отличный способ создать содержащийся повторно используемый класс. Однако, чтобы развернуть модуль, он должен быть вызван / определен, что не выполняется по умолчанию.
Вы можете сделать это одним из двух способов - если это одноразовая вещь, вы можете просто выполнить: puppet apply -e 'module' к агенту, и это должно применить модуль (или выдать ошибку;)!)
Однако, если вы хотите что-то изменить навсегда ... Я бы сделал что-то вроде этого.
Создайте файл с именем nodes.pp @ / etc / puppet / manifestests В nodes.pp;
node 'test.domain.com' {include modulename}
Затем в site.pp @ / etc / puppet / manifestests вам просто нужно убедиться, что вверху есть;
import 'nodes.pp'
Затем вы можете запустить как марионеточный агент -t, и вы увидите, что он пытается получить модуль.
Вы должны включить модуль в свой init.pp или зависимые модули, чтобы он был виден во время проверки зависимостей.