Configurazione dell'autenticazione NTP in ISE

Introduzione

In questo documento viene descritto come configurare l'autenticazione NTP su Cisco Identity Services Engine (ISE) e risolvere i problemi di autenticazione NTP.

Prerequisiti

Requisiti

È consigliabile conoscere i seguenti argomenti:

• Cisco ISE CLI configuration
• Conoscenze base del protocollo NTP (Network Time Protocol)

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

• Nodo indipendente ISE 2.7
• CISCO 2911/K9 versione 15.2(1)T2
  
  

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Configurazione

Esempio di rete

Configurazioni

Operazioni preliminari

Per accedere ad ISE, è necessario disporre del ruolo di amministratore privilegiato o di amministratore di sistema.

Verificare che la porta NTP non sia bloccata nel percorso di transito tra i server ISE e NTP.

Si presume che i server NTP siano configurati su ISE. Per modificare i server NTP, selezionare Amministrazione > Sistema > Impostazioni > Ora di sistema. Per un breve video, è possibile vedere ISE NTP Configuration

Nota: nel caso della distribuzione distribuita, scegliere lo stesso server NTP (Network Time Protocol) per tutti i nodi. Per evitare problemi di fuso orario tra i nodi, è necessario fornire lo stesso nome del server NTP durante l'installazione di ogni nodo. In questo modo, i report e i registri dei vari nodi della distribuzione vengono sempre sincronizzati con l'indicatore orario.

Nota: non è possibile modificare il fuso orario da GUI. È possibile farlo tramite la CLI che richiede il riavvio del servizio ISE per quel particolare nodo. Si consiglia di utilizzare il fuso orario preferito (UTC predefinito) all'ora dell'installazione quando la procedura guidata di configurazione iniziale richiede di specificare i fusi orari. Per abilitare il comando CLI clock timezone, consultare l'ID bug Cisco CSCvo49755.

Se l'implementazione dispone di nodi Cisco ISE principali e secondari, è necessario accedere all'interfaccia utente di ciascun nodo e configurare le impostazioni del server NTP (Network Time Protocol) e dell'ora di sistema.

È possibile configurare l'autenticazione NTP in ISE dalla GUI o dalla CLI.

Procedura GUI

Passaggio 1. Passare a Amministrazione > Sistema > Impostazioni > Ora di sistema e fare clic su Chiavi di autenticazione NTP, come mostrato in questa immagine.

Passaggio 2. Qui è possibile aggiungere una o più chiavi di autenticazione. Fare clic su Add (Aggiungi), quindi viene visualizzato un popup. Il campo ID chiave supporta valori numerici compresi tra 1 e 65535 e il campo Valore chiave supporta fino a 15 caratteri alfanumerici. Il valore chiave è la chiave NTP effettiva utilizzata per autenticare ISE come client per il server NTP. Inoltre, l'ID della chiave deve corrispondere a quello configurato sul server NTP. Scegliere il valore HMAC (Hashed Message Authentication Code) richiesto dall'elenco a discesa HMAC.

Passaggio 3. Fare clic su OK e quindi su Salva chiavi di autenticazione. Viene nuovamente visualizzata la scheda Configurazione server NTP.

Passaggio 4. Nell'elenco a discesa della chiave viene visualizzato l'ID della chiave configurato nel passaggio 3. Se sono stati configurati più ID di chiave, fare clic sull'ID della chiave corrispondente. Quindi, fare clic su Salva.

Passi CLI

Passaggio 1. Configurare la chiave di autenticazione NTP.

admin(config)# ntp authentication-key ?
<1-65535> Key number >>> This is the Key ID
admin(config)# ntp authentication-key 1 ? >>> Here you can choose the HMAC value
md5 MD5 authentication
sha1 SHA1 authentication
sha256 SHA256 authentication
sha512 SHA512 authentication
admin(config)# ntp authentication-key 1 md5 ? >>> You can choose either to paste the hash of the actual key or type the key in plain text. 
hash Specifies an ENCRYPTED (hashed) key follows
plain Specifies an UNENCRYPTED plain text key follows

admin(config)# ntp authentication-key 1 md5 plain Ntp123 >>> Ensure there are no spaces given at the end of the key.

Passaggio 2. Definire il server NTP e associare l'ID chiave configurato nel passaggio 1.

admin(config)# ntp server IP/HOSTNAME ?
key Peer key number
<cr> Carriage return.

admin(config)# ntp serve IP/HOSTNAME key ?
<1-65535>

admin(config)# ntp serve IP/HOSTNAME key 1 ?
<cr> Carriage return.

admin(config)# ntp serve IP/HOSTNAME key 1

Configurazione sul router

Il router svolge la funzione di server NTP. Configurare questi comandi per abilitare il router come server NTP con autenticazione NTP.

ntp authentication-key 1 md5 Ntp123 >>> The same key that you configured on ISE
ntp authenticate
ntp master STRATUM

Verifica

ISE:

Usare il comando show ntp. Se l'autenticazione NTP ha esito positivo, è necessario visualizzare l'ISE da sincronizzare con il server NTP.

admin# sh ntp
Configured NTP Servers:
NTP_SERVER_IP

Reference ID : 0A6A23B1 (NTP_SERVER_IP)
Stratum : 3
Ref time (UTC) : Fri Mar 26 09:14:31 2021
System time : 0.000008235 seconds fast of NTP time
Last offset : +0.000003193 seconds
RMS offset : 0.000020295 seconds
Frequency : 10.472 ppm slow
Residual freq : +0.000 ppm
Skew : 0.018 ppm
Root delay : 0.000571255 seconds
Root dispersion : 0.000375993 seconds
Update interval : 519.3 seconds
Leap status : Normal >>> If there is any issue in NTP synchronization, it shows "Not synchronised".

210 Number of sources = 1
MS Name/IP address Stratum Poll Reach LastRx Last sample
===============================================================================
^* NTP_SERVER_IP 2 9 377 100 +3853ns[+7046ns] +/- 684us

M indicates the mode of the source.
^ server, = peer, # local reference clock.

S indicates the state of the sources.
* Current time source, + Candidate, x False ticker, ? Connectivity lost, ~ Too much variability

Warning: Output results can conflict at the time of changing synchronization.

admin#

Risoluzione dei problemi

Le informazioni contenute in questa sezione permettono di risolvere i problemi relativi alla configurazione.

1. Se l'autenticazione NTP non funziona, il primo passo da fare è verificare la raggiungibilità tra ISE e il server NTP.
   
   
2. Verificare che la configurazione dell'ID della chiave corrisponda su ISE e sul server NTP.
   
   
3. Verificare che l'ID della chiave sia configurato come chiave attendibile sul server NTP.
   
   
4. Le versioni precedenti di ISE, quali 2.4 e 2.6, supportano il comando ntp trusted-key. Accertarsi quindi di aver configurato la chiave NTP come trusted-key su queste versioni ISE.
   
   
5. ISE 2.7 introduce un cambiamento nel comportamento per la sincronizzazione NTP. Mentre le versioni precedenti utilizzano ntpd, le versioni 2.7 e successive utilizzano chrony. Chrony ha requisiti diversi rispetto a ntpd. Uno dei più evidenti è che mentre ntpd si sincronizza con i server che hanno una dispersione fino a 10 secondi, crony si sincronizza solo quando la dispersione radice è inferiore a 3 secondi. In questo modo, i server NTP in grado di sincronizzare il pre-aggiornamento non saranno più sincronizzati nella versione 2.7 senza alcuna ragione evidente.
   
   

   A causa di questa modifica, i problemi di sincronizzazione NTP si verificherebbero frequentemente se si utilizza il server Windows NTP in quanto segnalano una dispersione radice molto ampia (3 o più secondi) e di conseguenza la cronologia ignora il server NTP in quanto troppo impreciso.

Difetti di riferimento

ID bug Cisco CSCvw78019

ID bug Cisco CSCvw03693

Informazioni correlate

• Guida alla risoluzione dei problemi e al debug del protocollo NTP (Network Time Protocol)