Beim Einsatz von Kerberos sollten Sie sich vergewissern, dass alle Systemuhren Ihrer Organisation innerhalb eines gewissen Bereichs synchronisiert sind. Das ist wichtig, weil Kerberos vor dem erneuten Senden der Zugangsdaten schützt. Ein Angreifer könnte die Kerberos-Zugangsdaten im Netzwerk beobachten und dann für den Angriff auf den Server verwenden. Kerberos verwendet mehrere Verteidigungsstrategien, um das zu verhindern. Eine davon sind die Zeitstempel der Tickets. Wenn ein Server ein Ticket mit einem Zeitstempel erhält, der sich von der aktuellen Zeit unterscheidet, weist er das Ticket zurück.

Kerberos erlaubt eine geringfügige Abweichung beim Vergleichen der Zeitstempel. Systemuhren können jedoch bei der Zeitmessung enorm fehlerhaft sein. Es kommt vor, dass PC-Uhren innerhalb von einer Woche eine halbe Stunde vor- oder nachgehen. Aus diesem Grund sollten Sie festlegen, dass alle Hosts im Netzwerk ihre Uhren mit einer zentralen Zeitquelle synchronisieren.

Ein einfacher Weg ist die Installation eines NTP-Zeitservers auf einer Maschine, mit dem alle Clients ihre Uhren synchronisieren. Hierfür führen Sie entweder einen NTP-Daemon im Client-Modus auf diesen Rechnern aus oder führen einmal pro Tag ntpdate auf allen Clients aus (diese Lösung eignet sich nur bei einer geringen Anzahl von Clients). Das KDC selbst muss ebenfalls mit der gemeinsamen Zeitquelle synchronisiert werden. Da es ein Sicherheitsrisiko wäre, einen NTP-Daemon auf dieser Maschine auszuführen, sollten Sie das tun, indem Sie ntpdate über einen cron-Eintrag ausführen. Zum Konfigurieren Ihrer Maschine als NTP-Client, gehen Sie vor wie unter Abschnitt 24.1, „Konfigurieren eines NTP-Client mit YaST“ erläutert.

Außerdem ist es möglich, die maximale Abweichung von Kerberos beim Überprüfen der Zeitstempel anzupassen. Dieser Wert (genannt Zeitdifferenz) kann in der Datei krb5.conf eingestellt werden, wie unter Abschnitt 39.6.2.3, „Anpassen der Zeitdifferenz“ beschrieben.