O Network Time Protocol (NTP) é um protocolo usado para sincronizar os relógios de diferentes entidades de rede. Usa UDP/123. O objetivo principal do uso desse protocolo é evitar os efeitos da latência variável nas redes de dados.
Este documento fornece uma configuração de exemplo para que o Cisco ACS sincronize seu relógio com o servidor NTP. O ACS 5.x pode configurar até dois servidores NTP.
Não existem requisitos específicos para este documento.
As informações neste documento são baseadas nestas versões de software e hardware:
Cisco Secure ACS versão 5.x
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.
Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.
Para sincronizar o horário do Cisco ACS com um servidor NTP, siga estas etapas:
Configure manualmente a data e a hora com o comando clock set <month> <day> <hh:min:ss> <yyy> .
Especifique o fuso horário com o comando clock timezone <timezone>.
Especifique o servidor NTP com o comando NTP server <endereço IP do servidor NTP> .
O NTP segue uma hierarquia cliente-servidor. Quando um cliente NTP é configurado com um servidor NTP, o Relógio de Referência do servidor NTP é passado ao cliente. Leva aproximadamente de 10 a 20 minutos para obter o tempo exato do servidor NTP e depende do atraso que ocorre para alcançar o servidor NTP.
O Cisco ACS usa o daemon NTP para sincronizar seu relógio com o servidor NTP. Ele não suporta o NTP simples, SNTP. Quando o daemon NTP é iniciado, o ACS envia um pacote ao servidor NTP que contém sua hora original (Local). Em seguida, o servidor NTP responde ao pacote com a inserção de seu tempo de relógio de referência. Quando o cliente NTP recebe esse pacote, ele registra o pacote com sua própria hora local para validar o tempo de viagem levado pelo pacote. Várias trocas de pacotes desse tipo ocorrem a fim de calcular o tempo exato de retardo de ida e volta e os valores de deslocamento e, finalmente, a hora local do cliente NTP é sincronizada com o Relógio de Referência do servidor NTP.
Use esta seção para confirmar se a sua configuração funciona corretamente.
Para verificar os detalhes da configuração, consulte esses snippets de saída de comando.
acs51/admin#show clock Wed Jun 13 11:02:00 IST 2012 acs51/admin#
acs51/admin(config)#ntp server 192.168.26.55 The NTP server was modified. If this action resulted in a clock modification, you must restart ACS. acs51/admin(config)#
acs51/admin#show ntp Primary NTP : 192.168.26.55 synchronised to NTP server (192.168.26.55) at stratum 2 time correct to within 27 ms polling server every 64 s remote refid st t when poll reach delay offset jitter ============================================================================== 127.127.1.0 LOCAL(0) 10 l 29 64 17 0.000 0.000 0.001 *192.168.26.55 .LOCL. 1 u 33 64 17 0.285 -9.900 2.733 Warning: Output results may conflict during periods of changing synchronization.
Note: Stratum é uma medida que especifica quão próximo o servidor NTP está do Relógio de Referência Primário. Cada cliente NTP sincronizado com um servidor stratum n é denominado no nível stratum n+1.
Consulte essas mensagens de log de aplicativo do ACS para verificar os detalhes da Sincronização de NTP.
acs51/admin# show logging application | in ntp Jun 13 13:51:59 acs51 ntpd[20259]: ntpd 4.2.0a@1.1190-r Mon Jul 28 11:03:50 EDT 2008 (1) Jun 13 13:51:59 acs51 ntpd[20259]: precision = 1.000 usec Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, 0.0.0.0#123 Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, ::#123 Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface lo, 127.0.0.1#123 Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface eth0, 192.168.26.51#123 Jun 13 13:51:59 acs51 ntpd[20259]: kernel time sync status 0040 Jun 13 13:51:59 acs51 ntpd[20259]: frequency initialized 0.000 PPM from /var/lib/ntp/drift Jun 13 13:51:59 acs51 ntpd: ntpd startup succeeded Jun 13 13:55:15 acs51 ntpd[20259]: synchronized to 192.168.26.55, stratum 2 !--- Output suppressed–
A Output Interpreter Tool ( somente clientes registrados) (OIT) oferece suporte a determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.
Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.
O Cisco ACS é configurado para usar o servidor NTP como origem de tempo, mas ele muda continuamente para a origem de tempo interna. Quando isso acontece, não permite que os usuários se autentiquem do Ative Diretory, pois o Kerberos suporta apenas 300 segundos de diferença de tempo.
Quando o host ESXi tem alta utilização da CPU, ele não atende às VMs com a frequência normal. Isso afeta os relógios dentro das VMs e, na verdade, causa um desvio de relógio de um Controlador de Domínio do Windows que excede cinco minutos. Causa falha no Kerberos. Isso também afetaria uma VM do Windows sem NTP ou sincronização do relógio do host. Como o relógio virtual apresentado ao Cisco ACS não é estável o suficiente para que o NTP acompanhe o desvio, ele eventualmente volta a usar a si mesmo como fonte de tempo.
Observação: o daemon NTP ajusta o relógio em várias trocas e continua até que o cliente obtenha a hora exata. No entanto, quando o atraso entre o Servidor NTP e o Cliente NTP se tornar muito grande, o daemon NTP será encerrado e você precisará ajustar o tempo manualmente e reiniciar o daemon NTP.
Esse problema está definido para ser resolvido quando você integrar o suporte às ferramentas VMWare no Cisco ACS, que está disponível com o Cisco ACS versão 5.4 que ainda está para ser lançado. Consulte o bug da Cisco ID CSCtg50048 (somente clientes registrados) para obter mais informações. Como uma solução temporária, você pode tentar estas etapas:
Pare os serviços ACS com o comando ACS stop .
Remova toda a configuração do NTP e salve a configuração com um comando write mem.
Reinicialize o Cisco ACS.
Certifique-se de que todos os serviços estejam sendo executados com o comando show application status acs.
Defina o relógio para que esteja o mais próximo possível do tempo real, à segunda antes do requisito de deslocamento no NTP.
Verifique se o fuso horário está correto.
Adicione novamente a configuração do NTP e salve-a.
Execute o comando show ntp para verificar se a saída é a mesma.
Observação: se essas etapas não resolverem o problema, você é aconselhado a entrar em contato com o Cisco TAC.
Se você alterar o endereço IP da placa de rede ACS, o NTP ficará fora de sincronia.
Esse comportamento é observado e registrado no bug da Cisco ID CSCtk76151 (somente clientes registrados) . Quando o endereço IP do ACS é modificado, ele reinicia o aplicativo ACS, mas não o daemon NTP. Ele é corrigido na versão 5.3.0.23 do ACS. Para resolver esse problema em versões anteriores, siga estas etapas:
Execute o comando no ntp server para parar o processo NTP.
Execute novamente o comando ntp server para reiniciar o processo NTP.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
13-Jun-2012 |
Versão inicial |