Créer les entrées pour IMAP et POP, exemple : {{{
kadmin -p root/admin
kadmin:  addprinc -randkey imap/mail.vn.auf.org
kadmin:  addprinc -randkey pop/mail.vn.auf.org
kadmin:  ktadd -k /etc/dovecot/krb5.keytab imap/mail.vn.auf.org
kadmin:  ktadd -k /etc/dovecot/krb5.keytab pop/mail.vn.auf.org
kadmin:  exit
}}}

Puis ajouter ceci dans `/etc/dovecot.conf` : {{{
#auth_gssapi_hostname = mail.vn.auf.org # normalement pas nécessaire
auth_krb5_keytab = /etc/dovecot/krb5.keytab
auth default {
  mechanisms = plain gssapi
  ...
}}}

Ça fonctionne parfaitement avec Mutt. Ça fonctionne aussi avec Thunderbird 2 et 3 à condition de cocher « authentification sécurisée » (dans les paramètres des serveurs entrant et sortant) et que le ''hostname'' utilisé __à la création du compte de courriel__ soit le bon (sinon aller bidouiller le ''hostname'' dans `prefs.js`). Ce genre de souci se repère facilement dans les logs du serveur Kerberos où on voit alors apparaître des requêtes pour un mauvais ''hostname''.

Note : voir pourquoi Dovecot utilise son propre fichier au lieu de `/etc/krb5.keytab` ; un risque ?