ACS 5.x : exemple de configuration de la synchronisation Cisco ACS avec le serveur NTP

Options de téléchargement

PDF (271.3 KB)
Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
ePub (88.7 KB)
Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
Mobi (Kindle) (77.9 KB)
Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils

Mis à jour:15 juin 2012

ID du document:1713417399864540

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Table des matières

Introduction

Conditions préalables

Exigences

Composants utilisés

Conventions

Configurer

Configuration NTP sur Cisco ACS

Vérifier

Dépannage

Problème : L'horloge dérive trop et NTP échoue lorsque ACS est installé sur une machine VMWare

Solution

Synchronisation NTP perdue après la modification de l'adresse IP d'interface d'ACS

Solution

Informations connexes

Introduction

Le protocole NTP (Network Time Protocol) est un protocole utilisé pour synchroniser les horloges de différentes entités réseau. Il utilise UDP/123. L’objectif principal de ce protocole est d’éviter les effets de la latence variable sur les réseaux de données.

Ce document fournit un exemple de configuration pour Cisco ACS afin de synchroniser son horloge avec le serveur NTP. ACS 5.x est autorisé à configurer jusqu'à deux serveurs NTP.

Conditions préalables

Exigences

Aucune exigence spécifique n'est associée à ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

Cisco Secure ACS version 5.x

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d’informations sur les conventions utilisées dans ce document, reportez-vous aux Conventions relatives aux conseils techniques Cisco.

Configurer

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque : utilisez l'outil de recherche de commandes (clients enregistrés uniquement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Configuration NTP sur Cisco ACS

Afin de synchroniser l'heure de Cisco ACS avec un serveur NTP, complétez ces étapes :

Configurez manuellement la date et l'heure à l'aide de la commande clock set <month> <day> <hh:min:ss> <yyy>.
Spécifiez le fuseau horaire à l'aide de la commande clock timezone <timezone>.
Spécifiez le serveur NTP à l'aide de la commande NTP server <IP address of NTP server>.

NTP suit une hiérarchie client-serveur. Lorsqu'un client NTP est configuré avec un serveur NTP, l'horloge de référence du serveur NTP est transmise au client. Il faut environ 10-20 minutes pour obtenir l'heure précise du serveur NTP et dépend du délai qui se produit pour atteindre le serveur NTP.

Cisco ACS utilise le démon NTP afin de synchroniser son horloge avec le serveur NTP. Il ne prend pas en charge le protocole SNMP simple. Lorsque le démon NTP démarre, ACS envoie un paquet au serveur NTP qui contient son heure d'origine (Local). Ensuite, le serveur NTP répond au paquet avec l'insertion de son horloge de référence. Une fois que le client NTP reçoit ce paquet, il enregistre le paquet avec sa propre heure locale afin de valider le temps de déplacement pris par le paquet. Plusieurs de ces échanges de paquets ont lieu afin de calculer le temps de retard exact aller-retour et les valeurs de décalage et finalement l'heure locale du client NTP est synchronisée avec l'horloge de référence du serveur NTP.

Vérifier

Utilisez cette section pour confirmer que votre configuration fonctionne correctement.

Afin de vérifier les détails de configuration, référez-vous à ces extraits de sortie de commande.

acs51/admin#show clock
Wed Jun 13 11:02:00 IST 2012
acs51/admin#

acs51/admin(config)#ntp server 192.168.26.55
The NTP server was modified.
If this action resulted in a clock modification, you must restart ACS.
acs51/admin(config)#

acs51/admin#show ntp
Primary NTP   : 192.168.26.55

synchronised to NTP server (192.168.26.55) at stratum 2
   time correct to within 27 ms
   polling server every 64 s

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
127.127.1.0     LOCAL(0)        10 l   29   64   17    0.000    0.000   0.001
*192.168.26.55   .LOCL.           1 u   33   64   17    0.285   -9.900   2.733

Warning: Output results may conflict during periods of changing synchronization.

Remarque : Stratum est une mesure qui spécifie la distance entre le serveur NTP et l'horloge de référence principale. Chaque client NTP qui est synchronisé avec un serveur de strate n est appelé au niveau de strate n+1.

Référez-vous à ces messages du journal des applications d'ACS afin de vérifier les détails de la synchronisation NTP.

acs51/admin# show logging application | in ntp
Jun 13 13:51:59 acs51 ntpd[20259]: ntpd 4.2.0a@1.1190-r Mon Jul 28 11:03:50 EDT 2008 (1)
Jun 13 13:51:59 acs51 ntpd[20259]: precision = 1.000 usec
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, 0.0.0.0#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, ::#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface lo, 127.0.0.1#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface eth0, 192.168.26.51#123
Jun 13 13:51:59 acs51 ntpd[20259]: kernel time sync status 0040
Jun 13 13:51:59 acs51 ntpd[20259]: frequency initialized 0.000 PPM from /var/lib/ntp/drift
Jun 13 13:51:59 acs51 ntpd: ntpd startup succeeded
Jun 13 13:55:15 acs51 ntpd[20259]: synchronized to 192.168.26.55, stratum 2


!--- Output suppressed–

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Dépannage

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Problème : L'horloge dérive trop et NTP échoue lorsque ACS est installé sur une machine VMWare

Cisco ACS est configuré pour utiliser le serveur NTP comme source d'horloge, mais il se transforme continuellement en source de temps interne. Dans ce cas, les utilisateurs ne peuvent pas s'authentifier à partir d'Active Directory, car Kerberos ne prend en charge que 300 secondes de différence de temps.

Solution

Lorsque l'hôte ESXi a une utilisation CPU élevée, il ne sert pas les machines virtuelles aussi souvent que d'habitude. Cela affecte les horloges à l'intérieur des machines virtuelles et provoque en fait une dérive d'horloge à partir d'un contrôleur de domaine Windows qui dépasse cinq minutes. Cela entraîne l'échec du Kerberos. Cela aurait également un impact sur une machine virtuelle Windows sans NTP ni synchronisation d'horloge hôte. Comme l'horloge virtuelle présentée à Cisco ACS n'est pas assez stable pour que NTP puisse suivre la dérive, elle finit par se réutiliser comme source de temps.

Remarque : le démon NTP ajuste l'horloge en plusieurs échanges et continue jusqu'à ce que le client obtienne l'heure exacte. Cependant, lorsque le délai entre le serveur NTP et le client NTP devient trop important, alors le démon NTP se termine et vous devez ajuster l'heure manuellement et redémarrer le démon NTP.

Ce problème est réglé lorsque vous intégrez la prise en charge des outils VMWare dans Cisco ACS, qui est disponible avec Cisco ACS version 5.4 qui n'est pas encore disponible. Référez-vous à l'ID de bogue Cisco CSCtg50048 (clients enregistrés seulement) pour plus d'informations. Comme solution de contournement temporaire, vous pouvez essayer les étapes suivantes :

Arrêtez les services ACS avec la commande ACS stop .
Supprimez toute la configuration NTP et enregistrez la configuration avec une commande write mem.
Redémarrez Cisco ACS.
Assurez-vous que tous les services sont en cours d'exécution avec la commande show application status acs.
Réglez l'horloge pour qu'elle soit aussi proche que possible du temps réel, à la seconde avant la condition de décalage sur NTP.
Assurez-vous que le fuseau horaire est correct.
Ajoutez à nouveau la configuration NTP et enregistrez-la.
Exécutez la commande show ntp afin de vérifier si le résultat est le même.

Remarque : si ces étapes ne permettent pas de résoudre le problème, nous vous conseillons de contacter le TAC Cisco.

Synchronisation NTP perdue après la modification de l'adresse IP d'interface d'ACS

Si vous modifiez l'adresse IP de la carte réseau ACS, cela rend le NTP désynchronisé.

Solution

Ce comportement est observé et consigné dans le bogue Cisco ayant l'ID CSCtk76151 (clients enregistrés uniquement) . Lorsque l'adresse IP ACS est modifiée, elle redémarre l'application ACS mais pas le démon NTP. Il est corrigé dans la version 5.3.0.23 d'ACS. Afin de résoudre ce problème dans les versions antérieures, complétez ces étapes :