https://web.mit.edu/kerberos/krb5-1.12/doc/admin/conf_files/krb5_conf.html#libdefaults 기반으로 작성.

noaddresses

If this flag is true, requests for initial tickets will not be made with address restrictions set, allowing the tickets to be used across NATs. The default value is true.

위와 같이 설정되어 있는 값.

noaddresses = true 라고 설정하면 초기 티켓(AS/TGT)에 클라이언트의 IP 주소(주소 제한)가 포함되지 않도록 요청/생성되어, NAT·로밍 환경에서 동일한 티켓을 여러 네트워크 위치에서 사용할 수 있게 한다.

noaddresses 옵션이 정상적으로 동작하는지 확인하려면 kinit 수행 후 발급 klit -v 명령어를 통해 발급된 티켓의 설정에서 확인할 수 있다. 다수개의 realm을 사용할 경우 klist -l 명령어를 확인하고자 하는 credential이 맞는지 확인 후 명령어를 수행한다. (credential 변경을 위해서는 kswitch -p {username}@{realm} 명령어 사용)

noaddresses 는 기본적으로 true로 동작한다.

klist -v로 확인 시 Addresses 컬럼에 addressless 라면 noaddresses = true가 정상 동작하고 있다고 보면 된다.

> klist -v
Credentials cache: API:5DEEBA3D-76A5-4913-8BAC-E9BCB95FB425
        Principal: {username}@{realm}
    Cache version: 0


Server: krbtgt/{realm}@{realm}
Client: {username}@{realm}
Ticket etype: aes256-cts-hmac-sha1-96, kvno 1
Ticket length: 434
Auth time:  Nov 27 10:59:52 2025
End time:   Nov 27 20:59:52 2025
Ticket flags: enc-pa-rep, pre-authent, initial
Addresses: addressless

noaddresses = false로 동작하는 경우 klist -v 결과값은 아래와 같다. 사용자의 ip정보가 Addresses에 추가되며 KDC 인증시 이 IP 값도 함께 전송되게 된다.

이로 인해 NAT·로밍 환경에서 사용자 인증이 실패할 수 있다.

> klist -v
Credentials cache: API:5DEEBA3D-76A5-4913-8BAC-E9BCB95FB425
        Principal: {username}@{realm}
    Cache version: 0

Server: krbtgt/{realm}@{realm}
Client: {username}@{realm}
Ticket etype: aes256-cts-hmac-sha1-96, kvno 1
Ticket length: 434
Ticket length: 495
Auth time:  Nov 27 11:07:46 2025
End time:   Nov 27 21:07:46 2025
Ticket flags: enc-pa-rep, pre-authent, initial
Addresses: IPv4:{ipv4 addres}, IPv4:{ipv4 addres}, IPv6:{ipv6 addres}

kinit 수행 시 --addresses, --no-addresses 옵션을 통해 명시적으로 설정을 추가하여 테스트해볼 수도 있다.