Red Hat Training
A Red Hat training course is available for RHEL 8
33.2. サーバーで NTS (Network Time Security) の有効化
独自の Network Time Protocol (NTP) サーバーを実行している場合は、サーバーの Network Time Security (NTS) サポートを有効にして、クライアントの同期を容易にし、安全に行うことができます。
NTP サーバーがその他のサーバーのクライアントである (Stratum 1 サーバーではない) 場合は、同期に NTS または対称鍵を使用する必要があります。
前提条件
-
PEM形式のサーバー秘密鍵 -
PEM形式で必要な中間証明書を持つサーバー証明書
手順
chrony.confで秘密鍵と証明書ファイルを指定します。For example: ntsserverkey /etc/pki/tls/private/foo.example.net.key ntsservercert /etc/pki/tls/certs/foo.example.net.crt
グループの所有権を設定し、鍵と証明書ファイルの両方が chrony システムユーザーにより読み取り可能であることを確認します。
For example: chown :chrony /etc/pki/tls/*/foo.example.net.*
-
ntsdumpdir /var/lib/chronyディレクティブがchrony.confに存在することを確認します。 chronydを再起動します。systemctl restart chronyd
重要サーバーにファイアウォールがある場合は、NTP 用の
UDP 123ポートとTCP 4460ポート、および NTS-KE (Network Time Security-Key Establishment) の両方を許可する必要があります。
検証
次のコマンドを使用して、クライアントマシンからクイックテストを実行します。
$ chronyd -Q -t 3 'server foo.example.net iburst nts maxsamples 1' 2021-09-15T13:45:26Z chronyd version 4.1 starting (+CMDMON +NTP +REFCLOCK +RTC +PRIVDROP +SCFILTER +SIGND +ASYNCDNS +NTS +SECHASH +IPV6 +DEBUG) 2021-09-15T13:45:26Z Disabled control of system clock 2021-09-15T13:45:28Z System clock wrong by 0.002205 seconds (ignored) 2021-09-15T13:45:28Z chronyd exitingSystem clock wrongメッセージは、NTP サーバーが NTS-KE 接続を受け入れ、NTS で保護されている NTP メッセージで応答していることを示しています。サーバーで監視されている NTS-KE 接続と認証された NTP パケットを確認します。
# chronyc serverstats NTP packets received : 7 NTP packets dropped : 0 Command packets received : 22 Command packets dropped : 0 Client log records dropped : 0 NTS-KE connections accepted: 1 NTS-KE connections dropped : 0 Authenticated NTP packets: 7
NTS-KE connections acceptedおよびAuthenticated NTP packetsの値がゼロ以外の値の場合は、少なくとも 1 台のクライアントが NTS-KE ポートに接続し、認証された NTP リクエストを送信できたことを意味します。