ACS 5.x: NTP 서버 컨피그레이션을 사용한 Cisco ACS 동기화 예

다운로드 옵션

PDF (308.9 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (82.5 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (71.2 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2012년 6월 15일

문서 ID:1713417399864540

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

NTP(Network Time Protocol)는 여러 네트워크 엔티티의 시계를 동기화하는 데 사용되는 프로토콜입니다. UDP/123을 사용합니다. 이 프로토콜을 사용하는 주요 목적은 데이터 네트워크에서 가변 레이턴시의 영향을 방지하는 것입니다.

이 문서에서는 Cisco ACS가 시계를 NTP 서버와 동기화하기 위한 샘플 컨피그레이션을 제공합니다. ACS 5.x는 최대 2개의 NTP 서버를 구성할 수 있습니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

Cisco Secure ACS 버전 5.x

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참조하십시오.

구성

이 섹션에는 이 문서에서 설명하는 기능을 구성하기 위한 정보가 표시됩니다.

참고: 이 섹션에 사용된 명령에 대한 자세한 내용을 보려면 명령 조회 도구(등록된 고객만 해당)를 사용하십시오.

Cisco ACS의 NTP 컨피그레이션

Cisco ACS의 시간을 NTP 서버와 동기화하려면 다음 단계를 완료하십시오.

clock set <month> <day> <hh:min:ss> <yyyy> 명령을 사용하여 날짜 및 시간을 수동으로 구성합니다.
clock timezone <timezone> 명령을 사용하여 표준 시간대를 지정합니다.
NTP server <IP address of NTP server> 명령을 사용하여 NTP 서버를 지정합니다.

NTP는 클라이언트-서버 계층 구조를 따릅니다. NTP 클라이언트가 NTP 서버로 구성된 경우 NTP 서버의 Reference Clock이 클라이언트에 전달됩니다. NTP 서버에서 정확한 시간을 가져오는 데 약 10-20분이 소요되며 NTP 서버에 도달하기 위해 발생하는 지연에 따라 달라집니다.

Cisco ACS는 NTP 데몬을 사용하여 시계를 NTP 서버와 동기화합니다. Simple NTP, SNTP는 지원하지 않습니다. NTP 데몬이 시작되면 ACS는 원래 시간(로컬)이 포함된 패킷을 NTP 서버로 전송합니다. 그런 다음 NTP 서버는 참조 시계 시간을 삽입하여 패킷에 응답합니다. NTP 클라이언트는 이 패킷을 수신하면 자체 로컬 시간으로 패킷을 로깅하여 패킷에 사용된 이동 시간을 확인합니다. 정확한 왕복 지연 시간 및 오프셋 값을 계산하기 위해 이러한 패킷 교환이 여러 번 발생하며, 마지막으로 NTP 클라이언트의 로컬 시간이 NTP 서버의 참조 클럭과 동기화됩니다.

다음을 확인합니다.

구성이 올바르게 작동하는지 확인하려면 이 섹션을 활용하십시오.

컨피그레이션 세부사항을 확인하려면 다음 명령 출력 조각을 참조하십시오.

acs51/admin#show clock
Wed Jun 13 11:02:00 IST 2012
acs51/admin#

acs51/admin(config)#ntp server 192.168.26.55
The NTP server was modified.
If this action resulted in a clock modification, you must restart ACS.
acs51/admin(config)#

acs51/admin#show ntp
Primary NTP   : 192.168.26.55

synchronised to NTP server (192.168.26.55) at stratum 2
   time correct to within 27 ms
   polling server every 64 s

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
127.127.1.0     LOCAL(0)        10 l   29   64   17    0.000    0.000   0.001
*192.168.26.55   .LOCL.           1 u   33   64   17    0.285   -9.900   2.733

Warning: Output results may conflict during periods of changing synchronization.

참고: 계층은 NTP 서버가 기본 참조 시계와 얼마나 가까운지를 지정하는 측정값입니다. 계층 n 서버와 동기화되는 각 NTP 클라이언트는 계층 n+1 수준이라고 합니다.

NTP 동기화 세부사항을 확인하려면 ACS에서 이러한 애플리케이션 로그 메시지를 참조하십시오.

acs51/admin# show logging application | in ntp
Jun 13 13:51:59 acs51 ntpd[20259]: ntpd 4.2.0a@1.1190-r Mon Jul 28 11:03:50 EDT 2008 (1)
Jun 13 13:51:59 acs51 ntpd[20259]: precision = 1.000 usec
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, 0.0.0.0#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, ::#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface lo, 127.0.0.1#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface eth0, 192.168.26.51#123
Jun 13 13:51:59 acs51 ntpd[20259]: kernel time sync status 0040
Jun 13 13:51:59 acs51 ntpd[20259]: frequency initialized 0.000 PPM from /var/lib/ntp/drift
Jun 13 13:51:59 acs51 ntpd: ntpd startup succeeded
Jun 13 13:55:15 acs51 ntpd[20259]: synchronized to 192.168.26.55, stratum 2


!--- Output suppressed–

OIT(Output Interpreter Tool)(등록된 고객만 해당)는 특정 show 명령을 지원합니다. OIT를 사용하여 show 명령 출력 분석을 볼 수 있습니다.

문제 해결

이 섹션에서는 설정 문제 해결에 사용할 수 있는 정보를 제공합니다.

문제: ACS가 VMWare 시스템에 설치된 경우, 클럭이 너무 많이 이동하고 NTP가 실패합니다

Cisco ACS는 NTP 서버를 클럭 소스로 사용하도록 구성되지만 지속적으로 내부 시간 소스로 변경됩니다. 이 경우 Kerberos는 300초의 시간 차이만 지원하므로 사용자가 Active Directory에서 인증할 수 없습니다.

솔루션

ESXi 호스트는 CPU 사용률이 높으면 VM을 평소처럼 자주 처리하지 않습니다. 이는 VM 내부의 시계에 영향을 미치며, 실제로 5분을 초과하는 Windows 도메인 컨트롤러로부터의 클럭 드리프트를 유발합니다. 이로 인해 Kerberos가 실패합니다. 이는 NTP 또는 호스트 클록 동기화가 없는 Windows VM에도 영향을 줍니다. Cisco ACS에 제공된 가상 클럭은 NTP가 이러한 변화에 대응할 수 있을 만큼 안정적이지 않으므로 결국 자신을 시간 원본으로 사용하는 것으로 돌아갑니다.

참고: NTP 데몬은 여러 교환에서 클럭을 조정하고 클라이언트가 정확한 시간을 얻을 때까지 계속합니다. 그러나 NTP 서버와 NTP 클라이언트 간의 지연이 너무 커지면 NTP 데몬이 종료되므로 시간을 수동으로 조정하고 NTP 데몬을 다시 시작해야 합니다.

이 문제는 아직 릴리스되지 않은 Cisco ACS 릴리스 5.4에서 사용할 수 있는 Cisco ACS에 VMWare 툴 지원을 통합할 때 해결되도록 설정되어 있습니다. 자세한 내용은 Cisco 버그 ID CSCtg50048(등록된 고객만 해당)을 참조하십시오. 임시 해결 방법으로 다음 단계를 시도할 수 있습니다.

ACS stop 명령으로 ACS 서비스를 중지합니다.
모든 NTP 컨피그레이션을 제거하고 write mem 명령을 사용하여 컨피그레이션을 저장합니다.
Cisco ACS를 재부팅합니다.
모든 서비스가 show application status acs 명령으로 실행 중인지 확인합니다.
NTP의 오프셋 요구 사항 이전의 두 번째 시간으로 가능한 실시간 시간에 가깝게 시계를 설정합니다.
표준 시간대가 정확한지 확인하십시오.
NTP 컨피그레이션을 다시 추가하고 저장합니다.
출력이 동일한지 확인하려면 show ntp 명령을 수행합니다.

참고: 이러한 단계를 통해 문제가 해결되지 않을 경우 Cisco TAC에 문의하는 것이 좋습니다.

ACS의 인터페이스 IP 주소가 변경된 후 NTP 동기화가 손실됨

ACS NIC의 IP 주소를 변경하면 NTP가 동기화되지 않습니다.

솔루션

이 동작은 Cisco 버그 ID CSCtk76151(등록된 고객만 해당)에서 관찰되고 기록됩니다. ACS IP 주소가 수정되면 ACS 애플리케이션을 재시작하지만 NTP 데몬은 재시작하지 않습니다. ACS 버전 5.3.0.23에서 수정됩니다. 이전 버전에서 이 문제를 해결하려면 다음 단계를 완료하십시오.

NTP 프로세스를 중지하려면 no ntp server 명령을 실행합니다.
NTP 프로세스를 다시 시작하기 위해 ntp server 명령을 다시 실행합니다.