Clock Skew:
Чтобы запретить злоумышленникам сбросить свои системные часы и продолжить использовать билеты с истекшим сроком, Kerberos V5 настроен на отклонение запросов на билеты от любого хоста, часы которого не находятся в пределах указанного максимального перекоса часов KDC (как указано в файле kdc.conf). Значение по умолчанию для максимального перекоса часов составляет 300 секунд или пять минут
ссылка
Срок действия билетов:
Значение = 0 здесь означает, что никогда не истекает.
Теперь, скажем, у меня есть билет на сервис Kerberos, который никогда не истекает или, по крайней мере, не истекает в течение часа, и я не изменял значение по умолчанию для часов. У меня есть следующие вопросы:
- Если я (клиент) получу билет службы от KDC сейчас и предоставлю его службе, скажем, через 30 минут, пройдет ли моя проверка подлинности?
- Какая логика используется для определения перекоса часов?
- Если билет с продолжительностью жизни = 1 час или более представляется серверу на 6-й минуте (после получения от KDC), как сервер определяет, является ли это рассогласование часов или просто отложенная доставка?
Примечание. Эти вопросы являются частью более крупной проблемы, которую я сейчас пытаюсь решить, связанной с функциональным тестированием для проверки билета Kerberos. ссылка