ACS 5.x:Cisco ACS與NTP伺服器同步的配置示例

簡介

網路時間協定(NTP)是用來同步不同網路實體時鐘的通訊協定。它使用UDP/123。使用該協定的主要目的是避免資料網路上可變延遲的影響。

本文檔提供思科ACS與NTP伺服器同步時鐘的示例配置。ACS 5.x最多可以配置兩個NTP伺服器。

必要條件

需求

本文件沒有特定需求。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• Cisco安全ACS版本5.x

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

慣例

請參閱思科技術提示慣例以瞭解更多有關文件慣例的資訊。

設定

本節提供用於設定本文件中所述功能的資訊。

註：使用Command Lookup Tool(僅供已註冊客戶使用)可獲取本節中使用的命令的詳細資訊。

Cisco ACS上的NTP配置

為了將Cisco ACS的時間與NTP伺服器同步，請完成以下步驟：

1. 使用clock set <month> <day> <hh:min:ss> <yyyy>命令手動設定日期和時間。

2. 使用clock timezone <timezone> 命令指定時區。

3. 使用NTP server <NTP server的IP地址>命令指定NTP伺服器。

   NTP遵循客戶端 — 伺服器層次結構。當使用NTP伺服器配置NTP客戶端時，NTP伺服器的參考時鐘會傳遞給客戶端。從NTP伺服器獲取準確時間大約需要10-20分鐘，這取決於到達NTP伺服器所發生的延遲。

   Cisco ACS使用NTP後台程式將其時鐘與NTP伺服器同步。它不支援簡單NTP、SNTP。當NTP守護程式啟動時，ACS會將包含其原始時間（本地）的資料包傳送到NTP伺服器。 然後NTP伺服器通過插入其參考時鐘時間來回複資料包。NTP客戶端收到此資料包後，會用自己的本地時間記錄該資料包，以驗證資料包所用的傳輸時間。為了計算精確的往返延遲時間和偏移值，NTP客戶端的本地時間與NTP伺服器的參考時鐘同步，發生了幾次這樣的分組交換。

驗證

使用本節內容，確認您的組態是否正常運作。

若要驗證組態詳細資訊，請參閱以下命令輸出片段。

acs51/admin#show clock
Wed Jun 13 11:02:00 IST 2012
acs51/admin#

acs51/admin(config)#ntp server 192.168.26.55
The NTP server was modified.
If this action resulted in a clock modification, you must restart ACS.
acs51/admin(config)#

acs51/admin#show ntp
Primary NTP   : 192.168.26.55

synchronised to NTP server (192.168.26.55) at stratum 2
   time correct to within 27 ms
   polling server every 64 s

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
127.127.1.0     LOCAL(0)        10 l   29   64   17    0.000    0.000   0.001
*192.168.26.55   .LOCL.           1 u   33   64   17    0.285   -9.900   2.733

Warning: Output results may conflict during periods of changing synchronization.

附註：  層是指定NTP伺服器與主參考時鐘的接近程度的度量。與n層伺服器同步的每個NTP客戶端都稱為n+1層級。

請參閱來自ACS的這些應用程式日誌消息，以驗證NTP同步詳細資訊。

acs51/admin# show logging application | in ntp
Jun 13 13:51:59 acs51 ntpd[20259]: ntpd 4.2.0a@1.1190-r Mon Jul 28 11:03:50 EDT 2008 (1)
Jun 13 13:51:59 acs51 ntpd[20259]: precision = 1.000 usec
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, 0.0.0.0#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, ::#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface lo, 127.0.0.1#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface eth0, 192.168.26.51#123
Jun 13 13:51:59 acs51 ntpd[20259]: kernel time sync status 0040
Jun 13 13:51:59 acs51 ntpd[20259]: frequency initialized 0.000 PPM from /var/lib/ntp/drift
Jun 13 13:51:59 acs51 ntpd: ntpd startup succeeded
Jun 13 13:55:15 acs51 ntpd[20259]: synchronized to 192.168.26.55, stratum 2


!--- Output suppressed–

輸出直譯器工具(僅供已註冊客戶使用)(OIT)支援某些show命令。使用OIT檢視show命令輸出的分析。

疑難排解

本節提供的資訊可用於對組態進行疑難排解。

問題:在VMWare電腦上安裝ACS時，時鐘漂移過多且NTP失敗

Cisco ACS配置為使用NTP伺服器作為時鐘源，但它不斷更改內部時間源。發生這種情況時，使用者不會從Active Directory進行身份驗證，因為Kerberos僅支援300秒的時間差。

解決方案

當ESXi主機的CPU利用率高時，它不會像正常情況那樣頻繁地服務虛擬機器。這會影響VM內部的時鐘，實際上會導致Windows域控制器的時鐘漂移超過五分鐘。這會導致Kerberos失敗。這也會影響沒有NTP或主機時鐘同步的Windows VM。由於呈現給Cisco ACS的虛擬時鐘不夠穩定，NTP無法跟上漂移的步伐，因此它最終會恢復使用自己作為時間源。

註：NTP後台程式會在多個交換中調整時鐘，並繼續運行，直到客戶端獲得準確的時間。但是，當NTP伺服器和NTP客戶端之間的延遲過大時，NTP守護進程將終止，您需要手動調整時間並重新啟動NTP守護進程。

將VMWare工具支援整合到Cisco ACS時，此問題已設定為已解決，Cisco ACS 5.4版本提供了此支援，但尚未發佈。如需詳細資訊，請參閱Cisco錯誤ID CSCtg5048(僅限註冊客戶)。作為臨時解決方法，您可以嘗試以下步驟：

• 使用ACS stop命令停止ACS服務。

• 刪除所有NTP配置，並使用write mem命令儲存配置。

• 重新啟動Cisco ACS。

• 確保所有服務都使用show application status acs命令運行。

• 將時鐘設定為儘可能接近即時，在NTP偏移要求之前的第二秒鐘。

• 確保Timezone是正確的。

• 重新新增NTP配置並儲存。

• 執行show ntp命令以驗證輸出是否相同。

注意：如果這些步驟不能解決問題，建議您聯絡Cisco TAC。

ACS的介面IP地址更改後，NTP同步丟失

如果更改ACS NIC的IP地址，則會使NTP不同步。

解決方案

觀察到此行為並記錄在Cisco錯誤ID CSCtk76151(僅限註冊客戶)。 修改ACS IP地址後，它會重新啟動ACS應用程式，但不重新啟動NTP守護程式。在ACS版本5.3.0.23中修復了此問題。若要在以前的版本中解決此問題，請完成以下步驟：

1. 發出no ntp server命令以停止NTP進程。

2. 重新發出ntp server命令，以便重新啟動NTP進程。

相關資訊

• CS ACS 5.X產品支援
• 思科安全訪問控制系統5.3使用手冊
• 技術支援與文件 - Cisco Systems