ACS 5.x:Cisco ACS与NTP服务器同步配置示例

简介

网络时间协议(NTP)是一种用于同步不同网络实体时钟的协议。它使用UDP/123。使用该协议的主要目的是避免数据网络上可变延迟的影响。

本文档提供思科ACS与NTP服务器同步时钟的示例配置。ACS 5.x最多可以配置两个NTP服务器。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 思科安全ACS版本5.x

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

配置

本部分提供有关如何配置本文档所述功能的信息。

注意：要获取此部分中所用命令的更多信息，可使用命令查找工具（仅限已注册客户）。

Cisco ACS上的NTP配置

要将Cisco ACS的时间与NTP服务器同步，请完成以下步骤：

1. 使用clock set <month> <day> <hh:min:ss> <yyyy>命令手动配置日期和时间。

2. 使用clock timezone <timezone> 命令指定时区。

3. 使用NTP server <IP address of NTP server> 命令指定NTP服务器。

   NTP遵循客户端 — 服务器层次结构。当NTP客户端配置了NTP服务器时，NTP服务器的Reference Clock会传递给客户端。从NTP服务器获取准确时间大约需要10-20分钟，具体取决于到达NTP服务器的延迟。

   Cisco ACS使用NTP后台程序将其时钟与NTP服务器同步。它不支持简单NTP、SNTP。当NTP后台守护程序启动时，ACS会向包含其原始时间（本地）的NTP服务器发送数据包。 然后，NTP服务器通过插入其参考时钟时间对数据包做出应答。NTP客户端收到此数据包后，会将该数据包与其自己的本地时间进行记录，以验证数据包所花费的传输时间。为了计算准确的往返延迟时间和偏移值，NTP客户端的本地时间与NTP服务器的参考时钟同步，发生了多次此类数据包交换。

验证

使用本部分可确认配置能否正常运行。

要验证配置详细信息，请参阅以下命令输出片段。

acs51/admin#show clock
Wed Jun 13 11:02:00 IST 2012
acs51/admin#

acs51/admin(config)#ntp server 192.168.26.55
The NTP server was modified.
If this action resulted in a clock modification, you must restart ACS.
acs51/admin(config)#

acs51/admin#show ntp
Primary NTP   : 192.168.26.55

synchronised to NTP server (192.168.26.55) at stratum 2
   time correct to within 27 ms
   polling server every 64 s

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
127.127.1.0     LOCAL(0)        10 l   29   64   17    0.000    0.000   0.001
*192.168.26.55   .LOCL.           1 u   33   64   17    0.285   -9.900   2.733

Warning: Output results may conflict during periods of changing synchronization.

注意：  层是指定NTP服务器与主参考时钟的接近程度的度量。与层n服务器同步的每个NTP客户端称为第n+1层客户端。

要验证NTP同步详细信息，请参阅来自ACS的以下应用日志消息。

acs51/admin# show logging application | in ntp
Jun 13 13:51:59 acs51 ntpd[20259]: ntpd 4.2.0a@1.1190-r Mon Jul 28 11:03:50 EDT 2008 (1)
Jun 13 13:51:59 acs51 ntpd[20259]: precision = 1.000 usec
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, 0.0.0.0#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, ::#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface lo, 127.0.0.1#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface eth0, 192.168.26.51#123
Jun 13 13:51:59 acs51 ntpd[20259]: kernel time sync status 0040
Jun 13 13:51:59 acs51 ntpd[20259]: frequency initialized 0.000 PPM from /var/lib/ntp/drift
Jun 13 13:51:59 acs51 ntpd: ntpd startup succeeded
Jun 13 13:55:15 acs51 ntpd[20259]: synchronized to 192.168.26.55, stratum 2


!--- Output suppressed–

命令输出解释程序（仅限注册用户）(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

故障排除

本部分提供的信息可用于对配置进行故障排除。

问题：当ACS安装在VMWare计算机上时，时钟漂移过多且NTP失败

Cisco ACS配置为使用NTP服务器作为时钟源，但它会持续更改内部时间源。发生这种情况时，用户不会从Active Directory进行身份验证，因为Kerberos仅支持300秒的时间差。

解决方案

当ESXi主机的CPU使用率较高时，它不会像正常情况一样频繁地为VM提供服务。这会影响VM内部的时钟，实际上会导致Windows域控制器的时钟漂移超过五分钟。这会导致Kerberos失败。这将影响没有NTP或主机时钟同步的Windows VM。由于呈现给Cisco ACS的虚拟时钟不够稳定，NTP无法跟上漂移，因此它最终会恢复使用自己作为时间源。

注意：NTP后台守护程序会在多个交换中调整时钟，并继续运行，直到客户端获得准确的时间。但是，当NTP服务器和NTP客户端之间的延迟过大时，NTP后台守护程序将终止，您需要手动调整时间并重新启动NTP后台守护程序。

将VMWare工具支持集成到Cisco ACS时，此问题已设置为解决，Cisco ACS版本5.4中提供，但尚未发布。有关详细信息，请参阅Cisco Bug ID CSCtg50048（仅限注册客户）。作为临时解决方法，您可以尝试以下步骤：

• 使用ACS stop命令停止ACS服务。

• 删除所有NTP配置并使用write mem命令保存配置。

• 重新启动Cisco ACS。

• 确保所有服务都使用show application status acs命令运行。

• 将时钟设置为尽可能接近实时，在NTP偏移要求之前的第二位。

• 请确保Timezone是正确的。

• 重新添加NTP配置并保存。

• 执行show ntp命令以验证输出是否相同。

注：如果这些步骤不能解决问题，建议您联系Cisco TAC。

更改ACS的接口IP地址后，NTP同步丢失

如果更改ACS NIC的IP地址，则会使NTP不同步。

解决方案

此行为在Cisco Bug ID CSCtk76151（仅限注册客户）中观察和记录。 修改ACS IP地址后，它会重新启动ACS应用，但不重新启动NTP后台程序。在ACS版本5.3.0.23中修复了此问题。要在以前的版本中解决此问题，请完成以下步骤：

1. 发出no ntp server命令以停止NTP进程。

2. 重新发出ntp server命令以重新启动NTP进程。

相关信息

• CS ACS 5.X产品支持
• 思科安全访问控制系统5.3用户指南
• 技术支持和文档 - Cisco Systems