Red Hat Training
A Red Hat training course is available for RHEL 8
第33章 chrony における Network Time Security (NTS) の概要
Network Time Security (NTS) は、大規模なクライアントを拡張するように設計された Network Time Protocol (NTP) の認証メカニズムです。これは、クライアントマシンへの移動時に、サーバーマシンから受信したパケットが変更されていないことを確認します。NTS (Network Time Security) には、サーバーとそのクライアント間で使用される暗号鍵を自動的に作成する NTS-KE (Key Establishment) プロトコルが含まれます。
33.1. クライアント設定ファイルでの Network Time Security (NTS) の有効化
デフォルトでは、Network Time Security (NTS) は有効になっていません。/etc/chrony.conf では、NTS を有効にできます。これを行うには、以下の手順を実行します。
前提条件
- NTS に対応するサーバー
手順
クライアント設定ファイル
推奨される
iburstオプションのほかに、ntsオプションを使用してサーバーを指定します。For example: server time.example.com iburst nts server nts.netnod.se iburst nts server ptbtime1.ptb.de iburst ntsシステムの起動時に Network Time Security-Key Establishment (NTS-KE) セッションが繰り返されないようにするには、次の行 (がない場合) を
chrony.confに追加します。ntsdumpdir /var/lib/chrony
以下の行を
/etc/sysconfig/networkに追加し、DHCPが提供する NTP (Network Time Protocol) サーバーとの同期を無効にします。PEERNTP=no
- 変更を保存します。
chronydを再起動します。systemctl restart chronyd
検証
NTSキーが正常に確立されたかどうかを確認します。# chronyc -N authdata Name/IP address Mode KeyID Type KLen Last Atmp NAK Cook CLen ================================================================ time.example.com NTS 1 15 256 33m 0 0 8 100 nts.sth1.ntp.se NTS 1 15 256 33m 0 0 8 100 nts.sth2.ntp.se NTS 1 15 256 33m 0 0 8 100KeyID、Type、およびKLenには、ゼロ以外の値を指定する必要があります。この値が 0 になっていない場合は、システムログでchronydからのエラーメッセージを確認します。クライアントが NTP 測定を行っていることを確認します。
# chronyc -N sources MS Name/IP address Stratum Poll Reach LastRx Last sample ========================================================= time.example.com 3 6 377 45 +355us[ +375us] +/- 11ms nts.sth1.ntp.se 1 6 377 44 +237us[ +237us] +/- 23ms nts.sth2.ntp.se 1 6 377 44 -170us[ -170us] +/- 22msReach列の値はゼロ以外にする必要があります。理想的には 377 です。この値が 377 になることがめったにないか、または 377 に到達しない場合は、NTP の要求または応答がネットワークで失われていることを示しています。
関連情報
-
chrony.conf(5)の man ページ