Digamos que dos partes (A y B) utilizan kerberos v5 y que tienen relojes variados, lo que supone más de 10 minutos de tiempo en la ventana de Kerberos. ¿Cómo Kerberos todavía les permite llegar a un consenso a la vez? ¿Qué mensajes se intercambian para esta nueva sincronización?
Kerberos no sincroniza la hora entre el KDC, el servidor de administración y los clientes. Los administradores deben establecer mecanismos de sincronización de tiempo como NTP para garantizar que la hora del sistema entre las distintas entidades involucradas en el dominio Kerberos se mantenga sincronizada.
Los dominios de Microsoft Windows especifican un intervalo de tiempo tolerado predeterminado de 5 minutos, aunque esta configuración se puede cambiar mediante una configuración de directiva de seguridad de grupo (GPO). Un valor más bajo es más seguro que un valor más alto, pero la compensación es el riesgo de rechazar clientes remotos genuinos que pueden tener compensaciones de tiempo altas.
Vea estas referencias para más detalles:
Lea otras preguntas en las etiquetas key-management kerberos