1.4. IdM のタイムサービス要件

以下のセクションでは、chronyd を使用して、IdM ホストを中央タイムソースと同期させる方法を説明します。

1.4.1. IdM で chronyd を同期に使用する方法

chronyd を使用して、ここで説明するように、IdM ホストを中央タイムソースと同期させることができます。

IdM の基礎となる認証メカニズムである Kerberos は、プロトコルの一部としてタイムスタンプを使用します。IdM クライアントのシステム時間が、KDC (Key Distribution Center) のシステム時間と比べて 5 分以上ずれると、Kerberos 認証に失敗します。

IdM インストールスクリプトは、IdM サーバーおよびクライアントが中央タイムソースと同期したままになるように、chronyd Network Time Protocol (NTP) クライアントソフトウェアを自動設定します。

IdM インストールコマンドに NTP オプションを指定しないと、インストーラーは、ネットワークの NTP サーバーを参照する _ntp._udp DNS サービス (SRV) レコードを検索し、その IP アドレスで chrony を設定します。_ntp._udp SRV レコードがない場合は、chronydchrony パッケージに同梱の設定を使用します。

注記

RHEL 8 では chronyd が優先されるため、ntpd は非推奨となっており、IdM サーバーは Network Time Protocol (NTP) サーバーとして設定されず、NTP クライアントとしてのみ設定されます。RHEL 7 の NTP サーバー の IdM サーバーロールも、RHEL 8 では非推奨になりました。

関連情報

1.4.2. IdM インストールコマンドの NTP 設定オプションのリスト

chronyd を使用して、IdM ホストを中央タイムソースと同期させることができます。

IdM インストールコマンド (ipa-server-installipa-replica-installipa-client-install) のいずれかを指定して、設定時に chronyd クライアントソフトウェアを設定できます。

表1.1 IdM インストールコマンドの NTP 設定オプションのリスト

オプション動作

--ntp-server

これを使用して NTP サーバーを 1 つ指定します。複数回使用して、複数のサーバーを指定できます。

--ntp-pool

複数の NTP サーバーのプールを指定して、1 つのホスト名として解決する場合には、これを使用します。

-N, --no-ntp

chronyd の設定、起動、有効化はしないでください。

関連情報

1.4.3. IdM が NTP タイムサーバーを参照できるようにする方法

この手順では、Network Time Protocol (NTP) タイムサーバーとの同期できるように、IdM で必要とされる設定があるかどうかを確認します。

前提条件

  • お使いの環境で NTP タイムサーバーを設定している。この例では、以前に設定したタイムサーバーのホスト名は ntpserver.example.com である。

手順

  1. 環境内で NTP サーバーの DNS サービス (SRV) レコード検索を実行します。 

    [user@server ~]$ dig +short -t SRV _ntp._udp.example.com
0 100 123 ntpserver.example.com.
  2. 以前の dig 検索でタイムサーバーが返されない場合は、ポート 123 でタイムサーバーを参照する _ntp._udp SRV レコードを追加します。このプロセスは、お使いの DNS ソリューションにより異なります。

検証手順

  • _ntp._udp SRV レコードの検索時に、DNS がポート 123 でタイムサーバーのエントリーが返されることを確認します。 

    [user@server ~]$ dig +short -t SRV _ntp._udp.example.com
0 100 123 ntpserver.example.com.

関連情報

1.4.4. 関連情報