Authentification Kerberos: décalage d'horloge trop important

Meilleur entrainement

Étant donné que Kerberos est très sensible au temps, vous devez configurer vos machines clientes pour utiliser l'un de vos contrôleurs de domaine en tant que serveur NTP. Le lien DigitalOcean plus bas recommande d'utiliser ntp au lieu de systemd-timesyncd en raison de certains algorithmes de "lissage" optimisés qui empêchent les sauts d'horloge étranges qui peuvent casser certaines applications "horodatage à l'avenir, session abandonnée, etc.".

Si sur un système avec systemd et timedatectl

Courir Sudo gedit /etc/systemd/timesyncd.conf et commentez NTP= et définissez votre liste de serveurs séparés par des espaces à essayer, si vous avez des ordinateurs portables qui ne sont pas sur VPN pour accéder aux contrôleurs de domaine, vous devez également définir le FallbackNTP= pour inclure quelque chose comme pool.ntp.org ou d'autres serveurs publics NTP.

Exemple /etc/systemd/timesyncd.conf

[Time]
NTP=domaincontroller.pithoslabs.com
FallbackNTP=ntp.ubuntu.com pool.ntp.org

Alors Sudo systemctl restart systemd-timesyncd pour appliquer les nouvelles modifications sans redémarrer.

Si sur un système sans systemd

Sudo apt install ntpdate
ntpdate domaincontroller.yourdomain.com
Sudo gedit /etc/default/ntpdate

Vous devrez probablement ajouter une entrée cron pour l'exécuter quotidiennement pour les machines à longue durée de fonctionnement. Vous pouvez également utiliser ntp directement selon cet excellent document DigitalOcean, https://www.digitalocean.com/community/tutorials/how-to-set-up-time-synchronization-on-ubuntu-16-04

Si vous avez également installé ntp, ntpdate-debian (paquet ntpdate avec quelques ajustements en amont pour debian/ubuntu) peut également utiliser /etc/ntp.conf, voir le /etc/default/ntpdate Commentaires du fichier.