当尝试
kinit [email protected]
我明白了
[email protected]'s Password:
kinit: krb5_get_init_creds: Clock skew too great
该怎么办?
这是我的timedatectl状态
$ timedatectl status
Local time: C 2018-03-01 14:28:48 EET
Universal time: C 2018-03-01 12:28:48 UTC
RTC time: S 2018-02-24 23:48:07
Time zone: Europe/Riga (EET, +0200)
Network time on: yes
NTP synchronized: yes
RTC in local TZ: no
答案1
最佳实践
由于 Kerberos 对时间非常敏感,因此您应该将客户端计算机配置为使用其中一个域控制器作为 NTP 服务器。下面的 DigitalOcean 链接建议使用ntp而不是 ,systemd-timesyncd因为一些优化的“平滑”算法可以防止奇怪的时钟跳跃,这种跳跃可能会破坏某些应用程序“未来的时间戳、会话中止等”。
systemd如果在具有和的系统上timedatectl
运行sudo gedit /etc/systemd/timesyncd.conf并取消注释NTP=并设置您要尝试的空间分隔服务器列表,如果您的笔记本电脑可能不在 VPN 上访问域控制器,您还应该将其设置FallbackNTP=为包含 pool.ntp.org 或其他公共 NTP 服务器之类的内容。
示例 /etc/systemd/timesyncd.conf
[Time]
NTP=domaincontroller.pithoslabs.com
FallbackNTP=ntp.ubuntu.com pool.ntp.org
然后sudo systemctl restart systemd-timesyncd无需重新启动即可使新的更改生效。
如果在没有systemd
sudo apt install ntpdate
ntpdate domaincontroller.yourdomain.com
sudo gedit /etc/default/ntpdate
对于长时间运行的机器,您可能需要添加一个 cron 条目来每天运行此操作。您也可以根据这篇出色的 DigitalOcean 文档直接使用 ntp,https://www.digitalocean.com/community/tutorials/how-to-set-up-time-synchronization-on-ubuntu-16-04
如果您还安装了 ntp,ntpdate-debian(对 debian/ubuntu 上游的 ntpdate 包进行了一些调整)也可以使用/etc/ntp.conf,请参阅/etc/default/ntpdate文件的注释。