同步 KDC 与 Kerberos 客户机的时钟

所有参与 Kerberos 验证系统的主机都必须在指定的最长时间（称为时钟相位差）内同步其内部时钟。针对这一要求，需要进行另一种 Kerberos 安全检查。如果任意两个参与主机之间的时间偏差超过了时钟相位差，则客户机请求会被拒绝。

时钟相位差还决定应用服务器必须跟踪 Kerberos 协议消息的时间长度，以便识别并拒绝重放的请求。因此，时钟相位差的值越大，应用服务器必须收集的信息就越多。

时钟相位差的最大缺省值为 300 秒（5 分钟）。可以在 krb5.conf 文件的 libdefaults 部分中更改此缺省值。

在 KDC 与 Kerberos 客户机之间保持时钟同步非常重要，因此应使用网络时间协议 (Network Time Protocol, NTP) 软件同步这些时钟。Oracle Solaris 软件中包括了由美国特拉华大学开发的 NTP 公共域软件。 可从 NTP Documentation（NTP 文档）获取文档。

通过 NTP，您可以在网络环境中管理精确时间或网络时钟同步，或者同时管理这两者。NTP 是一种服务器-客户机协议。其中一个系统（NTP 服务器）为主时钟。所有其他系统为 NTP 客户机，这些客户机将其时钟与主时钟同步。为了同步时钟，NTP 使用 xntpd 守护进程，该守护进程设置并维护 UNIX 系统时间，使其与 Internet 标准时间服务器的时间保持一致。下图显示了该服务器-客户机 NTP 实现的示例。

图 4-1  使用 NTP 同步时钟

确保 KDC 与 Kerberos 客户机保持时钟同步需要实现以下步骤：

1. 在网络上设置一个 NTP 服务器。此服务器可以是主 KDC 服务器以外的任何系统。

2. 在网络上配置 KDC 和 Kerberos 客户机时，将它们设置为 NTP 服务器的 NTP 客户机。返回到主 KDC 以将其配置为 NTP 客户机。

3. 在所有系统上启用 NTP 服务。