Проверка подлинности Kerberos: слишком быстрое чередование часов
При попытке
kinit viesturs@SERVER.COM
я получаю
viesturs@SERVER.COM's Password:
kinit: krb5_get_init_creds: Clock skew too great
Что делать?
Вот мой статус timedatectl
$ timedatectl status
Local time: C 2018-03-01 14:28:48 EET
Universal time: C 2018-03-01 12:28:48 UTC
RTC time: S 2018-02-24 23:48:07
Time zone: Europe/Riga (EET, +0200)
Network time on: yes
NTP synchronized: yes
RTC in local TZ: no
2 ответа
Лучшая практика
Поскольку Kerberos очень чувствителен к времени, вы должны настроить клиентские компьютеры на использование одного из контроллеров домена в качестве сервера NTP. Канал DigitalOcean далее рекомендует использовать ntp вместо systemd-timesyncd из-за некоторых оптимизированных «сглаживающих» алгоритмов, которые предотвращают странные переходы часов, которые могут разорвать некоторые приложения «временная метка в будущем, прерывание сеанса и т. Д.».
Если в системе с systemd и timedatectl
запустите sudo gedit /etc/systemd/timesyncd.conf и раскомментируйте NTP= и установите свой список серверов, разделенных пробелами, чтобы попробовать, если у вас есть ноутбуки, которые могут не быть включенными VPN для доступа к контроллерам домена вы также должны установить FallbackNTP=, чтобы включить что-то вроде pool.ntp.org или других открытых NTP-серверов.
Пример /etc/systemd/timesyncd.conf
[Time]
NTP=domaincontroller.pithoslabs.com
FallbackNTP=ntp.ubuntu.com pool.ntp.org
Затем sudo systemctl restart systemd-timesyncd включить новые изменения без перезагрузки.
Если в системе без systemd
sudo apt install ntpdate
ntpdate domaincontroller.yourdomain.com
sudo gedit /etc/default/ntpdate
Вам, вероятно, потребуется добавить запись cron для ежедневной работы для долговременных машин. Вы также можете использовать ntp непосредственно в этом превосходном документе DigitalOcean, https://www.digitalocean.com/community/tutorials/how-to-set-up-time-synchronization-on-ubuntu-16-04
Если у вас также установлен ntp, ntpdate-debian (пакет ntpdate с некоторыми настройками из upstream для debian / ubuntu) также может использовать /etc/ntp.conf, см. комментарии файла /etc/default/ntpdate.
Лучшая практика
Поскольку Kerberos очень чувствителен к времени, вы должны настроить клиентские компьютеры на использование одного из контроллеров домена в качестве сервера NTP. Канал DigitalOcean далее рекомендует использовать ntp вместо systemd-timesyncd из-за некоторых оптимизированных «сглаживающих» алгоритмов, которые предотвращают странные переходы часов, которые могут разорвать некоторые приложения «временная метка в будущем, прерывание сеанса и т. Д.».
Если в системе с systemd и timedatectl
запустите sudo gedit /etc/systemd/timesyncd.conf и раскомментируйте NTP= и установите свой список серверов, разделенных пробелами, чтобы попробовать, если у вас есть ноутбуки, которые могут не быть включенными VPN для доступа к контроллерам домена вы также должны установить FallbackNTP=, чтобы включить что-то вроде pool.ntp.org или других открытых NTP-серверов.
Пример /etc/systemd/timesyncd.conf
[Time]
NTP=domaincontroller.pithoslabs.com
FallbackNTP=ntp.ubuntu.com pool.ntp.org
Затем sudo systemctl restart systemd-timesyncd включить новые изменения без перезагрузки.
Если в системе без systemd
sudo apt install ntpdate
ntpdate domaincontroller.yourdomain.com
sudo gedit /etc/default/ntpdate
Вам, вероятно, потребуется добавить запись cron для ежедневной работы для долговременных машин. Вы также можете использовать ntp непосредственно в этом превосходном документе DigitalOcean, https://www.digitalocean.com/community/tutorials/how-to-set-up-time-synchronization-on-ubuntu-16-04
Если у вас также установлен ntp, ntpdate-debian (пакет ntpdate с некоторыми настройками из upstream для debian / ubuntu) также может использовать /etc/ntp.conf, см. комментарии файла /etc/default/ntpdate.
-
1Колчан часов остался после внесения изменений для системы с systemd и timedatectl. – Viesturs 14 March 2018 в 11:59