Red Hat Training

A Red Hat training course is available for RHEL 8

第33章 chrony における Network Time Security (NTS) の概要

Network Time Security (NTS) は、大規模なクライアントを拡張するように設計された Network Time Protocol (NTP) の認証メカニズムです。これは、クライアントマシンへの移動時に、サーバーマシンから受信したパケットが変更されていないことを確認します。NTS (Network Time Security) には、サーバーとそのクライアント間で使用される暗号鍵を自動的に作成する NTS-KE (Key Establishment) プロトコルが含まれます。

33.1. クライアント設定ファイルでの Network Time Security (NTS) の有効化

デフォルトでは、Network Time Security (NTS) は有効になっていません。/etc/chrony.conf では、NTS を有効にできます。これを行うには、以下の手順を実行します。

前提条件

  • NTS に対応するサーバー

手順

クライアント設定ファイル

  1. 推奨される iburst オプションのほかに、nts オプションを使用してサーバーを指定します。

    For example:
    server time.example.com iburst nts
    server nts.netnod.se iburst nts
    server ptbtime1.ptb.de iburst nts
  2. システムの起動時に Network Time Security-Key Establishment (NTS-KE) セッションが繰り返されないようにするには、次の行 (がない場合) を chrony.conf に追加します。

    ntsdumpdir /var/lib/chrony
  3. 以下の行を /etc/sysconfig/network に追加し、DHCP が提供する NTP (Network Time Protocol) サーバーとの同期を無効にします。

    PEERNTP=no
  4. 変更を保存します。
  5. chronyd を再起動します。

    systemctl restart chronyd

検証

  • NTS キーが正常に確立されたかどうかを確認します。

    # chronyc -N authdata
    
    Name/IP address  Mode KeyID Type KLen Last Atmp  NAK Cook CLen
    ================================================================
    time.example.com  NTS     1   15  256  33m    0    0    8  100
    nts.sth1.ntp.se   NTS     1   15  256  33m    0    0    8  100
    nts.sth2.ntp.se   NTS     1   15  256  33m    0    0    8  100

    KeyIDType、および KLen には、ゼロ以外の値を指定する必要があります。この値が 0 になっていない場合は、システムログで chronyd からのエラーメッセージを確認します。

  • クライアントが NTP 測定を行っていることを確認します。

    # chronyc -N sources
    
    MS Name/IP address Stratum Poll Reach LastRx Last sample
    =========================================================
    time.example.com   3        6   377    45   +355us[ +375us] +/-   11ms
    nts.sth1.ntp.se    1        6   377    44   +237us[ +237us] +/-   23ms
    nts.sth2.ntp.se    1        6   377    44   -170us[ -170us] +/-   22ms

    Reach 列の値はゼロ以外にする必要があります。理想的には 377 です。この値が 377 になることがめったにないか、または 377 に到達しない場合は、NTP の要求または応答がネットワークで失われていることを示しています。

関連情報

  • chrony.conf(5) の man ページ