Créer les entrées pour IMAP et POP, exemple :

kadmin -p root/admin
kadmin:  addprinc -randkey imap/mail.vn.auf.org
kadmin:  addprinc -randkey pop/mail.vn.auf.org
kadmin:  ktadd -k /etc/dovecot/krb5.keytab imap/mail.vn.auf.org
kadmin:  ktadd -k /etc/dovecot/krb5.keytab pop/mail.vn.auf.org
kadmin:  exit

Puis ajouter ceci dans /etc/dovecot.conf :

#auth_gssapi_hostname = mail.vn.auf.org # normalement pas nécessaire
auth_krb5_keytab = /etc/dovecot/krb5.keytab
auth default {
  mechanisms = plain gssapi
  ...

Ça fonctionne parfaitement avec Mutt. Ça fonctionne aussi avec Thunderbird 2 et 3 à condition de cocher « authentification sécurisée » (dans les paramètres des serveurs entrant et sortant) et que le hostname utilisé à la création du compte de courriel soit le bon (sinon aller bidouiller le hostname dans prefs.js). Ce genre de souci se repère facilement dans les logs du serveur Kerberos où on voit alors apparaître des requêtes pour un mauvais hostname.

Note : voir pourquoi Dovecot utilise son propre fichier au lieu de /etc/krb5.keytab ; un risque ?