ACS 5.x: Exemplo de Configuração da Sincronização do Cisco ACS com o Servidor NTP

Opções de download

  • PDF     (426.1 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (87.9 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (76.8 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:15 de junho de 2012
ID do documento:1713417399864540

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

O Network Time Protocol (NTP) é um protocolo usado para sincronizar os relógios de diferentes entidades de rede. Usa UDP/123. O principal objetivo do uso desse protocolo é evitar os efeitos da latência variável nas redes de dados.

Este documento fornece uma configuração de exemplo para que o Cisco ACS sincronize seu relógio com o servidor NTP. O ACS 5.x pode configurar até dois servidores NTP.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco Secure ACS versão 5.x

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Configuração de NTP no Cisco ACS

Para sincronizar o horário do Cisco ACS com um servidor NTP, siga estas etapas:

  1. Configure manualmente a data e a hora com o comando clock set <month> <day> <hh:min:ss> <yyy> .

  2. Especifique o fuso horário com o comando clock timezone <timezone>.

  3. Especifique o servidor NTP com o comando NTP server <endereço IP do servidor NTP> .

    O NTP segue uma hierarquia cliente-servidor. Quando um cliente NTP é configurado com um servidor NTP, o Relógio de Referência do servidor NTP é passado ao cliente. Leva aproximadamente de 10 a 20 minutos para obter o tempo exato do servidor NTP e depende do atraso que ocorre para alcançar o servidor NTP.

    O Cisco ACS usa o daemon NTP para sincronizar seu relógio com o servidor NTP. Ele não suporta o NTP simples, SNTP. Quando o daemon NTP é iniciado, o ACS envia um pacote ao servidor NTP que contém sua hora original (Local). Em seguida, o servidor NTP responde ao pacote com a inserção de seu tempo de relógio de referência. Quando o cliente NTP recebe esse pacote, ele registra o pacote com sua própria hora local para validar o tempo de viagem levado pelo pacote. Várias trocas de pacotes desse tipo ocorrem a fim de calcular o tempo exato de retardo de ida e volta e os valores de deslocamento e, finalmente, a hora local do cliente NTP é sincronizada com o Relógio de Referência do servidor NTP.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

Para verificar os detalhes da configuração, consulte esses snippets de saída de comando.

acs51/admin#show clock
Wed Jun 13 11:02:00 IST 2012
acs51/admin#
acs51/admin(config)#ntp server 192.168.26.55
The NTP server was modified.
If this action resulted in a clock modification, you must restart ACS.
acs51/admin(config)#
acs51/admin#show ntp
Primary NTP   : 192.168.26.55

synchronised to NTP server (192.168.26.55) at stratum 2
   time correct to within 27 ms
   polling server every 64 s

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
127.127.1.0     LOCAL(0)        10 l   29   64   17    0.000    0.000   0.001
*192.168.26.55   .LOCL.           1 u   33   64   17    0.285   -9.900   2.733

Warning: Output results may conflict during periods of changing synchronization.

Observação: Stratum é uma medida que especifica quão próximo o servidor NTP está do Relógio de Referência Primário. Cada cliente NTP sincronizado com um servidor stratum n é denominado no nível stratum n+1.

Consulte essas mensagens de log de aplicativo do ACS para verificar os detalhes da Sincronização de NTP.

acs51/admin# show logging application | in ntp
Jun 13 13:51:59 acs51 ntpd[20259]: ntpd 4.2.0a@1.1190-r Mon Jul 28 11:03:50 EDT 2008 (1)
Jun 13 13:51:59 acs51 ntpd[20259]: precision = 1.000 usec
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, 0.0.0.0#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, ::#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface lo, 127.0.0.1#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface eth0, 192.168.26.51#123
Jun 13 13:51:59 acs51 ntpd[20259]: kernel time sync status 0040
Jun 13 13:51:59 acs51 ntpd[20259]: frequency initialized 0.000 PPM from /var/lib/ntp/drift
Jun 13 13:51:59 acs51 ntpd: ntpd startup succeeded
Jun 13 13:55:15 acs51 ntpd[20259]: synchronized to 192.168.26.55, stratum 2


!--- Output suppressed–

A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Problema: o relógio muda demais e o NTP falha quando o ACS é instalado em uma máquina VMWare

O Cisco ACS é configurado para usar o servidor NTP como origem de tempo, mas ele muda continuamente para a origem de tempo interna. Quando isso acontece, não permite que os usuários se autentiquem do Ative Diretory, pois o Kerberos suporta apenas 300 segundos de diferença de tempo.

Solução

Quando o host ESXi tem alta utilização da CPU, ele não atende às VMs com a frequência normal. Isso afeta os relógios dentro das VMs e, na verdade, causa um desvio de relógio de um Controlador de Domínio do Windows que excede cinco minutos. Causa falha no Kerberos. Isso também afetaria uma VM do Windows sem NTP ou sincronização do relógio do host. Como o relógio virtual apresentado ao Cisco ACS não é estável o suficiente para que o NTP acompanhe o desvio, ele eventualmente volta a usar a si mesmo como fonte de tempo.

Observação: o daemon NTP ajusta o relógio em várias trocas e continua até que o cliente obtenha a hora exata. No entanto, quando o atraso entre o Servidor NTP e o Cliente NTP se tornar muito grande, o daemon NTP será encerrado e você precisará ajustar o tempo manualmente e reiniciar o daemon NTP.

Esse problema está definido para ser resolvido quando você integrar o suporte às ferramentas VMWare no Cisco ACS, que está disponível com o Cisco ACS versão 5.4 que ainda está para ser lançado. Consulte o bug da Cisco ID CSCtg50048 (somente clientes registrados) para obter mais informações. Como uma solução temporária, você pode tentar estas etapas:

  • Pare os serviços ACS com o comando ACS stop .

  • Remova toda a configuração do NTP e salve a configuração com um comando write mem.

  • Reinicialize o Cisco ACS.

  • Certifique-se de que todos os serviços estejam sendo executados com o comando show application status acs.

  • Defina o relógio para que esteja o mais próximo possível do tempo real, à segunda antes do requisito de deslocamento no NTP.

  • Verifique se o fuso horário está correto.

  • Adicione novamente a configuração do NTP e salve-a.

  • Execute o comando show ntp para verificar se a saída é a mesma.

Observação: se essas etapas não resolverem o problema, você é aconselhado a entrar em contato com o Cisco TAC.

Sincronização de NTP perdida depois que o endereço IP da interface do ACS é alterado

Se você alterar o endereço IP da placa de rede ACS, o NTP ficará fora de sincronia.

Solução

Esse comportamento é observado e registrado no bug da Cisco ID CSCtk76151 (somente clientes registrados) . Quando o endereço IP do ACS é modificado, ele reinicia o aplicativo ACS, mas não o daemon NTP. Ele é corrigido na versão ACS 5.3.0.23. Para resolver esse problema em versões anteriores, siga estas etapas:

  1. Execute o comando no ntp server para parar o processo NTP.

  2. Execute novamente o comando ntp server para reiniciar o processo NTP.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
13-Jun-2012
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos