ACS 5.x: ejemplo de configuración de sincronización de Cisco ACS con el servidor NTP

Opciones de descarga

  • PDF     (425.9 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (88.0 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (76.8 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:15 de junio de 2012
ID del documento:1713417399864540

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

El protocolo de tiempo de la red (NTP) es un protocolo que se utiliza para sincronizar los relojes de diferentes entidades de red. Utiliza UDP/123. El principal objetivo de utilizar este protocolo es evitar los efectos de la latencia variable sobre las redes de datos.

Este documento proporciona una configuración de ejemplo para que Cisco ACS sincronice su reloj con el servidor NTP. ACS 5.x puede configurar hasta dos servidores NTP.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Cisco Secure ACS versión 5.x

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.

Configuración de NTP en Cisco ACS

Para sincronizar la hora de Cisco ACS con un servidor NTP, complete estos pasos:

  1. Configure manualmente la fecha y la hora con el comando clock set <month> <day> <hh:min:ss> <yyyy>.

  2. Especifique la zona horaria con el comando clock timezone <timezone> .

  3. Especifique el servidor NTP con el comando NTP server <dirección IP del servidor NTP> .

    NTP sigue una jerarquía cliente-servidor. Cuando un cliente NTP se configura con un servidor NTP, el Reloj de Referencia del servidor NTP se pasa al cliente. Se tarda aproximadamente 10-20 minutos para obtener la hora exacta del servidor NTP y depende de la demora se produce para alcanzar el servidor NTP.

    Cisco ACS utiliza el demonio NTP para sincronizar su reloj con el servidor NTP. No soporta el Simple NTP, SNTP. Cuando se inicia el demonio NTP, ACS envía un paquete al servidor NTP que contiene su hora original (Local). Luego, el servidor NTP responde al paquete con la inserción de su hora de reloj de referencia. Una vez que el cliente NTP recibe este paquete, registra el paquete con su propia hora local para validar el tiempo de viaje que toma el paquete. Varios de estos intercambios de paquetes ocurren para calcular el tiempo de retardo de ida y vuelta exacto y los valores de desplazamiento y, finalmente, la hora local del cliente NTP se sincroniza con el reloj de referencia del servidor NTP.

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

Para verificar los detalles de la configuración, consulte estos fragmentos de salida de comando.

acs51/admin#show clock
Wed Jun 13 11:02:00 IST 2012
acs51/admin#
acs51/admin(config)#ntp server 192.168.26.55
The NTP server was modified.
If this action resulted in a clock modification, you must restart ACS.
acs51/admin(config)#
acs51/admin#show ntp
Primary NTP   : 192.168.26.55

synchronised to NTP server (192.168.26.55) at stratum 2
   time correct to within 27 ms
   polling server every 64 s

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
127.127.1.0     LOCAL(0)        10 l   29   64   17    0.000    0.000   0.001
*192.168.26.55   .LOCL.           1 u   33   64   17    0.285   -9.900   2.733

Warning: Output results may conflict during periods of changing synchronization.

Nota: Stratum es una medida que especifica lo cerca que está el servidor NTP del Reloj de Referencia Primario. Cada cliente NTP que se sincroniza con un servidor de estrato n se denomina en el nivel de estrato n+1.

Consulte estos mensajes de registro de aplicación de ACS para verificar los detalles de la sincronización NTP.

acs51/admin# show logging application | in ntp
Jun 13 13:51:59 acs51 ntpd[20259]: ntpd 4.2.0a@1.1190-r Mon Jul 28 11:03:50 EDT 2008 (1)
Jun 13 13:51:59 acs51 ntpd[20259]: precision = 1.000 usec
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, 0.0.0.0#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, ::#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface lo, 127.0.0.1#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface eth0, 192.168.26.51#123
Jun 13 13:51:59 acs51 ntpd[20259]: kernel time sync status 0040
Jun 13 13:51:59 acs51 ntpd[20259]: frequency initialized 0.000 PPM from /var/lib/ntp/drift
Jun 13 13:51:59 acs51 ntpd: ntpd startup succeeded
Jun 13 13:55:15 acs51 ntpd[20259]: synchronized to 192.168.26.55, stratum 2


!--- Output suppressed–

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Troubleshoot

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Problema: el reloj se desplaza demasiado y el NTP falla cuando ACS se instala en una máquina VMWare

Cisco ACS está configurado para utilizar el servidor NTP como fuente de reloj, pero cambia continuamente a la fuente de tiempo interna. Cuando esto sucede, no permite a los usuarios autenticarse desde Active Directory ya que Kerberos sólo admite 300 segundos de diferencia de tiempo.

Solución

Cuando el host de ESXi tiene un uso elevado de la CPU, las VM no funcionan con la frecuencia normal. Esto afecta a los relojes dentro de las VM y, en realidad, causa la desviación del reloj de un controlador de dominio de Windows que supera los cinco minutos. Hace que el Kerberos falle. Esto también afectaría a una máquina virtual de Windows sin NTP o sincronización del reloj del host. Como el reloj virtual presentado a Cisco ACS no es lo suficientemente estable para que NTP pueda seguir el ritmo de la deriva, finalmente vuelve a usarse como fuente de tiempo.

Nota: El daemon NTP ajusta el reloj en varios intercambios y continúa hasta que el cliente obtiene la hora exacta. Sin embargo, cuando la demora entre el servidor NTP y el cliente NTP se hace demasiado grande, entonces el demonio NTP se termina y necesita ajustar el tiempo manualmente y reiniciar el demonio NTP.

Este problema está configurado para resolverse cuando integre el soporte de herramientas VMWare en Cisco ACS, que está disponible con la versión 5.4 de Cisco ACS que aún no se ha publicado. Consulte Cisco bug ID CSCtg50048 (sólo clientes registrados) para obtener más información. Como solución temporal, puede probar estos pasos:

  • Detenga los servicios ACS con el comando ACS stop .

  • Quite toda la configuración NTP y guarde la configuración con un comando write mem.

  • Reinicie Cisco ACS.

  • Asegúrese de que todos los servicios se estén ejecutando con el comando show application status acs.

  • Configure el reloj para que esté lo más cerca posible del tiempo real, al segundo antes del requisito de desplazamiento en NTP.

  • Asegúrese de que la zona horaria es la correcta.

  • Vuelva a agregar la configuración NTP y guárdela.

  • Ejecute el comando show ntp para verificar si el resultado es el mismo.

Nota: Si estos pasos no resuelven el problema, se recomienda que se ponga en contacto con el Cisco TAC.

Sincronización NTP perdida después de que se cambie la dirección IP de la interfaz de ACS

Si cambia la dirección IP de ACS NIC, esto hace que el NTP se desincronice.

Solución

Este comportamiento se observa y se registra en el ID de bug Cisco CSCtk76151 (sólo para clientes registrados) . Cuando se modifica la dirección IP de ACS, reinicia la aplicación ACS pero no el daemon NTP. Se fija en ACS versión 5.3.0.23. Para resolver este problema en versiones anteriores, siga estos pasos:

  1. Ejecute el comando no ntp server para detener el proceso NTP.

  2. Vuelva a ejecutar el comando ntp server para reiniciar el proceso NTP.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
13-Jun-2012
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos