网络时间协议(NTP)是一种用于同步不同网络实体时钟的协议。它使用UDP/123。使用此协议的主要目的是避免数据网络上可变延迟的影响。
本文档提供了Cisco ACS的示例配置,以便将其时钟与NTP服务器同步。ACS 5.x最多可以配置两台NTP服务器。
本文档没有任何特定的要求。
本文档中的信息基于以下软件和硬件版本:
思科安全ACS版本5.x
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
有关文档约定的更多信息,请参考 Cisco 技术提示约定。
本部分提供有关如何配置本文档所述功能的信息。
注意:要获取此部分中所用命令的更多信息,可使用命令查找工具(仅限已注册客户)。
要将Cisco ACS的时间与NTP服务器同步,请完成以下步骤:
使用clock set <month> <day> <hh:min:ss> <yyyy>命令手动配置日期和时间。
用clock timezone <timezone> 命令指定时区。
使用NTP server <IP address of NTP server> 命令指定NTP服务器。
NTP遵循客户端-服务器层次结构。当NTP客户端配置了NTP服务器时,NTP服务器的参考时钟会传递给客户端。从NTP服务器获取准确时间大约需要10-20分钟,具体取决于到达NTP服务器所发生的延迟。
Cisco ACS使用NTP后台程序将其时钟与NTP服务器同步。它不支持简单NTP、SNTP。当NTP守护程序启动时,ACS会向包含其原始时间(本地)的NTP服务器发送数据包。然后,NTP服务器通过插入其参考时钟时间来响应数据包。一旦NTP客户端收到此数据包,它将记录该数据包及其自己的本地时间,以验证数据包所花费的传输时间。为了计算准确的往返延迟时间和偏移值,进行了几次这样的分组交换,最后将NTP客户端的本地时间与NTP服务器的参考时钟同步。
使用本部分可确认配置能否正常运行。
要验证配置详细信息,请参阅以下命令输出片段。
acs51/admin#show clock Wed Jun 13 11:02:00 IST 2012 acs51/admin#
acs51/admin(config)#ntp server 192.168.26.55 The NTP server was modified. If this action resulted in a clock modification, you must restart ACS. acs51/admin(config)#
acs51/admin#show ntp Primary NTP : 192.168.26.55 synchronised to NTP server (192.168.26.55) at stratum 2 time correct to within 27 ms polling server every 64 s remote refid st t when poll reach delay offset jitter ============================================================================== 127.127.1.0 LOCAL(0) 10 l 29 64 17 0.000 0.000 0.001 *192.168.26.55 .LOCL. 1 u 33 64 17 0.285 -9.900 2.733 Warning: Output results may conflict during periods of changing synchronization.
注意:层是一种度量,用于指定NTP服务器与主参考时钟的接近程度。与第n层服务器同步的每个NTP客户端被称为第n+1层客户端。
请参阅这些来自ACS的应用日志消息以验证NTP同步详细信息。
acs51/admin# show logging application | in ntp Jun 13 13:51:59 acs51 ntpd[20259]: ntpd 4.2.0a@1.1190-r Mon Jul 28 11:03:50 EDT 2008 (1) Jun 13 13:51:59 acs51 ntpd[20259]: precision = 1.000 usec Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, 0.0.0.0#123 Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, ::#123 Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface lo, 127.0.0.1#123 Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface eth0, 192.168.26.51#123 Jun 13 13:51:59 acs51 ntpd[20259]: kernel time sync status 0040 Jun 13 13:51:59 acs51 ntpd[20259]: frequency initialized 0.000 PPM from /var/lib/ntp/drift Jun 13 13:51:59 acs51 ntpd: ntpd startup succeeded Jun 13 13:55:15 acs51 ntpd[20259]: synchronized to 192.168.26.55, stratum 2 !--- Output suppressed–
命令输出解释程序(仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。
本部分提供的信息可用于对配置进行故障排除。
Cisco ACS配置为使用NTP服务器作为时钟源,但它会不断更改为内部时间源。发生这种情况时,用户不会从Active Directory进行身份验证,因为Kerberos仅支持300秒的时间差。
如果ESXi主机的CPU利用率很高,则它不会像正常情况那样频繁地为VM提供服务。这会影响虚拟机内的时钟,实际上会导致Windows域控制器的时钟偏移超过五分钟。它导致Kerberos失败。这也会影响没有NTP或主机时钟同步的Windows虚拟机。由于呈现给Cisco ACS的虚拟时钟不够稳定,NTP无法跟上漂移,因此它最终会恢复使用自己作为时间源。
注意:NTP后台守护程序会在多个交换中调整时钟,并继续运行,直到客户端获得准确的时间。但是,当NTP服务器和NTP客户端之间的延迟过大时,NTP后台守护程序将终止,您需要手动调整时间并重新启动NTP后台守护程序。
将VMWare工具支持集成到Cisco ACS中时,此问题即被设置为解决,Cisco ACS 5.4版本中提供了此支持,但尚未发布。有关详细信息,请参阅思科漏洞ID CSCtg50048(仅限注册客户)。作为临时解决方法,您可以尝试以下步骤:
使用ACS stop命令停止ACS服务(此示例中未提供ACS服务)。
删除所有NTP配置并使用write mem命令保存配置。
重新启动Cisco ACS。
确保所有服务都使用show application status acs命令运行。
将时钟设置为尽可能接近实时,在NTP偏移要求之前的第二秒钟。
确保时区是正确的。
重新添加NTP配置并保存。
执行show ntp命令以验证输出是否相同。
注意:如果这些步骤无法解决问题,建议您联系思科TAC。
如果更改ACS NIC的IP地址,则会使NTP不同步。
此行为已被发现并记录在思科漏洞ID CSCtk76151中(仅限于注册客户)。修改ACS IP地址时,它会重新启动ACS应用程序,但不重新启动NTP守护程序。在ACS版本5.3.0.23中修复了此问题。要在以前的版本中解决此问题,请完成以下步骤:
发出no ntp server命令可停止NTP进程。
再次发出ntp server命令以重新启动NTP进程。
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
13-Jun-2012 |
初始版本 |