Kerberos 認証システムに参加するすべてのホストは、指定した最大時間内に収まるように内部クロックを同期化する必要があります (「クロックスキュー」)。この必要条件は、Kerberos セキュリティーの検査の 1 つです。参加しているホスト間のクロックスキューが超過すると、クライアントの要求が拒否されます。
クロックスキューはまた、アプリケーションサーバーが、再実行されたリクエストを認識して拒否するために Kerberos プロトコルメッセージを追跡する必要がある時間の長さも決定します。そのため、クロックスキュー値が長いほど、アプリケーションサーバーが収集する情報も多くなります。
最大クロックスキューのデフォルト値は、300 秒 (5 分) です。このデフォルトは、krb5.conf ファイルの libdefaults セクションで変更できます。
KDC と Kerberos クライアント間で同期されたクロックを維持することが重要であるため、PTP (Precision Time Protocol) または NTP (Network Time Protocol) ソフトウェアを使用してクロックを同期してください。これらのクロック同期ソフトウェアプロトコルの詳細は、Oracle Solaris 11.3 でのクロック同期と Web キャッシュを使用したシステムパフォーマンスの拡張を参照してください。
NTP ソフトウェアは、ほとんどの Oracle Solaris システム上にデフォルトでインストールされています。pkg install ptp コマンドを使用すると、PTP ソフトウェアをインストールできます。
次の図は、NTP クロック同期の例を示しています。
図 11 NTP を使用したクロック同期
KDC および Kerberos クライアントがクロックを同期化するには、次の手順を実行します。
Kerberos ネットワーク上の PTP または NTP サーバーの設定。このサーバーは、マスター KDC 以外の任意のシステムにすることができます。
ネットワーク上に KDC と Kerberos クライアントを構成する際に、それらをクロック同期サーバーのクライアントにします。マスター KDC に戻って、クロック同期サーバーのクライアントとして KDC を構成します。
すべてのシステム上でのクロック同期サービスの有効化。