為什么 kerberos 需要計算機時鍾同步?
[英]why kerberos require computer clock synchronization?
問題描述
客戶端節點時鍾故意設置為 kdc 的 10 小時頭
然后從客戶端節點運行kinit和klist
kinit 不報錯,klist 可以看到Ticket 緩存
~date -s 19:20:38
~kinit -kt /etc/kuduclient.keytab kuduclient@INFO2.COM
~klist
Ticket cache: KEYRING:persistent:0:0
Default principal: kuduclient@INFO2.COM
Valid starting Expires Service principal
11/11/2020 09:49:23 11/12/2020 09:11:00 krbtgt/INFO2.COM@INFO2.COM
renew until 11/18/2020 09:11:00
1 個解決方案
解決方案1
0 2020-11-11 16:17:22
Kerberos 中的時間是相對的。 首先,它應該基於 UTC 時區。 如果 10 小時的差異只是時區相關,那么 Kerberos 堆棧將很樂意轉換為 UTC,一切都很好。
其次,許多(大多數?)Kerberos 堆棧不關心確切的時間,他們關心與 KDC 認為的時間相關的時間。 我的意思是,客戶端可以向 KDC 發出請求,如果時間明顯超時,KDC 將返回一個錯誤,包括它認為的當前時間。 客戶端可以自由地重新發送請求,並將其時間增加到 KDC 的窗口內。 這仍然保證了安全的正確性,因為從權威——KDC 的角度來看,仍然滿足時間限制。
如果我將計算機上的時鍾提前,簽名的 Java 小程序將不再在任何瀏覽器中運行
[英]Signed java applet no longer works in any browser if I set the clock ahead on my computer
無法在計算機的“IP地址”上打開服務控制管理器。 此操作可能需要其他權限
[英]Cannot open Service Control Manager on computer 'ip address'. This operation might require other privileges
WCF - 為什么netTCPBinding在沒有任何SPN設置的情況下可以正常使用Kerberos身份驗證?
[英]WCF - Why netTCPBinding works fine with Kerberos authentication without any SPN setting?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.