Diciamo che due parti (A e B) usano kerberos v5 e hanno avuto vari orologi che hanno più di 10 minuti di Kerberos. In che modo Kerberos consente ancora di ottenere il consenso alla volta? Quali messaggi vengono scambiati per questa risincronizzazione?
Kerberos non sincronizza l'ora tra KDC, server di amministrazione e client. Gli amministratori devono stabilire meccanismi di sincronizzazione temporale come NTP per garantire che il tempo di sistema tra le varie entità coinvolte nel dominio Kerberos sia mantenuto sincronizzato.
I domini di Microsoft Windows specificano un offset di tempo tollerato predefinito di 5 minuti, sebbene questa impostazione possa essere modificata da una configurazione di criteri di sicurezza di gruppo (GPO). Un valore inferiore è più sicuro di un valore più alto, ma il compromesso è il rischio di rifiutare i client remoti originali che potrebbero avere offset di tempo elevato.
Vedi questi riferimenti per maggiori dettagli:
Leggi altre domande sui tag kerberos key-management