若要成功地使用 Kerberos,請確認您組織內的所有系統時間均同步於特定範圍中。這是很重要的,因為 Kerberos 可防護重播證件的攻擊。攻擊者可在網路上觀察 Kerberos 證件,並重新使用它們來攻擊伺服器。Kerberos 使用數種防禦來避免此攻擊。其中一個是在票證中放入時間戳記。接收到的票證之時間戳記若與目前時間不同,伺服器會拒絕票證。
Kerberos 在比較時間戳記時,允許特定的時間差。但是,電腦時鐘在準確性方面較為不足 — PC 時鐘在一星期內多出或少了一小時,並不罕見。基於此因素,請以中央時間來源設定網路上所有主機,來同步化它們的時鐘。
簡單的方式是在一台機器上安裝 NTP 時間伺服器,並讓所有用戶端以此伺服器同步化它們的時鐘。若要如此,可在所有機器上以用戶端模式執行 NTP 精靈,或在所有用戶端一天執行一次 ntpdate (此解決方案可能僅適用於用戶端數量少者)。KDC 本身也必須與共同時間來源同步化。因為在此機器上執行 NTP 精靈會有安全性風險,透過 cron 項目執行 ntpdate 來完成可能是個好主意。若要將您的電腦設定為 NTP 用戶端,請執行 第 32.1 節「使用 YaST 設定 NTP 用戶端」 中描述的程序。
在檢查時間戳記時,也可以調整 Kerberos 允許的最大誤差。此值 (稱為時鐘偏移) 可透過 krb5.conf
檔案設定,如第 46.5.3 節「調整時鐘偏移」 中所述。