ACS 5.x: Konfigurationsbeispiel für Cisco ACS-Synchronisierung mit dem NTP-Server

Download-Optionen

  • PDF     (273.7 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (88.3 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (77.3 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:15. Juni 2012
Dokument-ID:1713417399864540

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

Network Time Protocol (NTP) ist ein Protokoll, das zum Synchronisieren der Uhren verschiedener Netzwerkeinheiten verwendet wird. Es verwendet UDP/123. Das Hauptziel dieses Protokolls ist es, die Auswirkungen der variablen Latenz über die Datennetzwerke zu vermeiden.

Dieses Dokument enthält eine Beispielkonfiguration für das Cisco ACS zur Synchronisierung der Uhrzeit mit dem NTP-Server. ACS 5.x kann bis zu zwei NTP-Server konfigurieren.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

  • Cisco Secure ACS Version 5.x

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps von Cisco zu Konventionen).

Konfigurieren

In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.

Hinweis: Verwenden Sie das Tool für die Suche nach Befehlen (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.

NTP-Konfiguration auf Cisco ACS

Führen Sie die folgenden Schritte aus, um die Uhrzeit von Cisco ACS mit einem NTP-Server zu synchronisieren:

  1. Konfigurieren Sie Datum und Uhrzeit manuell mit dem Befehl clock set <month> <day> <hh:min:ss> <yyy>.

  2. Geben Sie die Zeitzone mit dem Befehl clock timezone <timezone> an.

  3. Geben Sie den NTP-Server mit dem Befehl NTP-Server <IP-Adresse des NTP-Servers> an.

    Das NTP basiert auf einer Client-Server-Hierarchie. Wenn ein NTP-Client mit einem NTP-Server konfiguriert wird, wird die Referenzuhr des NTP-Servers an den Client übergeben. Es dauert ungefähr 10-20 Minuten, um die genaue Zeit vom NTP-Server zu erhalten, und hängt von der Verzögerung ab, die auftritt, um den NTP-Server zu erreichen.

    Cisco ACS verwendet den NTP-Daemon, um seine Uhr mit dem NTP-Server zu synchronisieren. Simple NTP, SNTP wird nicht unterstützt. Wenn der NTP-Daemon startet, sendet ACS ein Paket an den NTP-Server, das die ursprüngliche Uhrzeit (Local) enthält. Anschließend antwortet der NTP-Server mit der Angabe der Uhrzeit für die Referenzuhr auf das Paket. Sobald der NTP-Client dieses Paket empfängt, protokolliert er das Paket mit seiner eigenen lokalen Zeit, um die vom Paket benötigte Reisezeit zu validieren. Mehrere solcher Paketvermittlungen erfolgen zur Berechnung der genauen Round-Trip-Verzögerungszeit und Offset-Werte und schließlich wird die lokale Zeit des NTP-Clients mit dem Referenztakt des NTP-Servers synchronisiert.

Überprüfung

Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.

Weitere Informationen zum Überprüfen der Konfigurationsdetails finden Sie in diesen Befehlsausgabeausschnitten.

acs51/admin#show clock
Wed Jun 13 11:02:00 IST 2012
acs51/admin#
acs51/admin(config)#ntp server 192.168.26.55
The NTP server was modified.
If this action resulted in a clock modification, you must restart ACS.
acs51/admin(config)#
acs51/admin#show ntp
Primary NTP   : 192.168.26.55

synchronised to NTP server (192.168.26.55) at stratum 2
   time correct to within 27 ms
   polling server every 64 s

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
127.127.1.0     LOCAL(0)        10 l   29   64   17    0.000    0.000   0.001
*192.168.26.55   .LOCL.           1 u   33   64   17    0.285   -9.900   2.733

Warning: Output results may conflict during periods of changing synchronization.

Hinweis: Stratum ist eine Kennzahl, die angibt, wie nahe der primären Referenzuhr der NTP-Server ist. Jeder NTP-Client, der mit einem Schicht-n-Server synchronisiert wird, wird als auf Schicht-n+1-Ebene bezeichnet.

Lesen Sie die folgenden Anwendungsprotokollmeldungen von ACS, um die NTP-Synchronisierungsdetails zu überprüfen.

acs51/admin# show logging application | in ntp
Jun 13 13:51:59 acs51 ntpd[20259]: ntpd 4.2.0a@1.1190-r Mon Jul 28 11:03:50 EDT 2008 (1)
Jun 13 13:51:59 acs51 ntpd[20259]: precision = 1.000 usec
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, 0.0.0.0#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, ::#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface lo, 127.0.0.1#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface eth0, 192.168.26.51#123
Jun 13 13:51:59 acs51 ntpd[20259]: kernel time sync status 0040
Jun 13 13:51:59 acs51 ntpd[20259]: frequency initialized 0.000 PPM from /var/lib/ntp/drift
Jun 13 13:51:59 acs51 ntpd: ntpd startup succeeded
Jun 13 13:55:15 acs51 ntpd[20259]: synchronized to 192.168.26.55, stratum 2


!--- Output suppressed–

Das Output Interpreter-Tool (OIT) (nur registrierte Kunden) unterstützt bestimmte show-Befehle. Verwenden Sie das OIT, um eine Analyse der show-Befehlsausgabe anzuzeigen.

Fehlerbehebung

In diesem Abschnitt finden Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.

Problem: Wenn ACS auf einem VMWare-System installiert ist, driftet die Uhr zu stark, und NTP fällt aus

Cisco ACS ist so konfiguriert, dass der NTP-Server als Taktquelle verwendet wird, wechselt jedoch kontinuierlich zur internen Zeitquelle. In diesem Fall können Benutzer nicht über Active Directory authentifiziert werden, da Kerberos nur eine Zeitdifferenz von 300 Sekunden unterstützt.

Lösung

Wenn der ESXi-Host eine hohe CPU-Auslastung aufweist, werden VMs nicht mehr so häufig wie normal bedient. Dies betrifft die Uhren in VMs und verursacht eine Abweichung der Uhr von einem Windows-Domänencontroller von mehr als fünf Minuten. Es führt zum Ausfall des Kerberos. Dies würde sich auch auf einen virtuellen Windows-Rechner ohne NTP- oder Host-Taktsynchronisierung auswirken. Da die dem Cisco ACS präsentierte virtuelle Uhr nicht stabil genug ist, um mit der Verschiebung Schritt zu halten, greift sie irgendwann auf sich selbst als Zeitquelle zurück.

Hinweis: Der NTP-Daemon passt die Uhr in mehreren Vermittlungsstellen an und setzt den Vorgang fort, bis der Client die genaue Zeit erhält. Wenn jedoch die Verzögerung zwischen dem NTP-Server und dem NTP-Client zu groß wird, wird der NTP-Daemon beendet, und Sie müssen die Zeit manuell anpassen und den NTP-Daemon neu starten.

Dieses Problem wird gelöst, wenn Sie die Unterstützung der VMWare-Tools in Cisco ACS integrieren, das in der noch nicht veröffentlichten Version 5.4 von Cisco ACS verfügbar ist. Weitere Informationen finden Sie unter der Cisco Bug-ID CSCtg50048 (nur für registrierte Kunden). Als temporäre Problemumgehung können Sie folgende Schritte ausprobieren:

  • Stoppen Sie ACS-Dienste mit dem Befehl ACS stop .

  • Entfernen Sie alle NTP-Konfigurationen, und speichern Sie die Konfiguration mit dem Befehl write mem.

  • Starten Sie Cisco ACS neu.

  • Stellen Sie sicher, dass alle Dienste mit dem Befehl show application status acs ausgeführt werden.

  • Stellen Sie die Uhr so nah wie möglich an der Echtzeit ein, bis zur Sekunde vor der Offsetanforderung für das NTP.

  • Stellen Sie sicher, dass die Zeitzone korrekt ist.

  • NTP-Konfiguration erneut hinzufügen und speichern.

  • Führen Sie den Befehl show ntp aus, um zu überprüfen, ob die Ausgabe gleich ist.

Hinweis: Wenn das Problem mit diesen Schritten nicht behoben wird, wird empfohlen, sich an Cisco TAC zu wenden.

NTP-Synchronisierung nach Änderung der IP-Adresse der Schnittstelle des ACS unterbrochen

Wenn Sie die IP-Adresse der ACS NIC ändern, führt dies dazu, dass das NTP nicht mehr synchronisiert ist.

Lösung

Dieses Verhalten wird beobachtet und unter der Cisco Bug-ID CSCtk76151 protokolliert (nur registrierte Kunden). Wenn die ACS-IP-Adresse geändert wird, wird die ACS-Anwendung neu gestartet, jedoch nicht der NTP-Daemon. Sie wurde in ACS 5.3.0.23 behoben. Gehen Sie wie folgt vor, um dieses Problem in früheren Versionen zu beheben:

  1. Geben Sie den Befehl no ntp server ein, um den NTP-Prozess zu beenden.

  2. Führen Sie den Befehl ntp server erneut aus, um den NTP-Prozess neu zu starten.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
13-Jun-2012
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.