Dans un domaine il est important que les horloges de l’ensemble des machines soient synchronisées. En effet le protocole d’authentification Kerberos requiert par défaut une différence maximale de 5 minutes entres les horloges afin de prévenir les attaques.
Si l’authentification se basait uniquement sur un nom d’utilisateur et un mot de passe il serait théoriquement possible pour une personne mal intentionnée d’enregistrer le trafic réseau, d’en extraire ces données et de les rejouer au serveur. Les clés de sessions Kerberos sont uniques et basées sur l’heure du client, ce qui permet d’éviter ces attaques si la différence maximale tolérée est relativement faible.
Afin d’être certain que les horloges sont toutes synchronisées entre elles il est nécessaire de définir une source de temps faisant autorité. Il est ainsi possible de configurer le contrôleur de domaine maître d’opération PDC afin qu’il devienne une source de temps de strate 2 se synchronisant sur une source de temps de strate 1 (en général un serveur de temps basé sur une horloge atomique).
Continuer à lire "Configurer un serveur de temps faisant autorité sous Windows 2003"