要成功使用 Kerberos,应确保您的组织内的所有系统时钟都在给定范围内同步。这一点非常重要,因为 Kerberos 需要防范重放的身份凭证。攻击者可能会在网络上获取 Kerberos 身份凭证,并再使用它们来攻击服务器。Kerberos 采取多种保护措施进行防范。其中之一是在它们的票证中放入时间戳。如果服务器收到的票证的时间戳与当前时间不同,就会拒绝此票证。
Kerberos 在比较时间戳时允许一定的偏差。但计算机时钟的走时可能非常不准确 - 在一周内快或慢半个小时并不罕见。因此,应对网络上的所有主机进行配置,使它们的时钟与中央时间源同步。
实现此做法的简单方法就是在一台计算机上安装 NTP 时间服务器,并使所有客户机的时钟与该服务器同步。要做到这一点,要么在所有这些计算机上以客户机方式运行一个 NTP 守护程序,要么每天一次从所有客户机运行 ntpdate(此解决方案可能仅适用于客户机数量较少的情况)。KDC 本身也需要与公用时间源同步。因为在此计算机上运行 NTP 守护程序会有安全风险,可能通过 cron 项运行 ntpdate 以执行此操作是一个好主意。要将您的计算机配置成 NTP 客户机,如第 32.1 节 “使用 YaST 配置 NTP 客户机”中概述的那样继续操作。
也可以调整 Kerberos 在检查时间戳时所允许的最大偏差。此值(称为时钟扭斜)可以在 krb5.conf 文件中进行设置,请参见第 46.5.3 节 “调整时钟扭斜”一节。