Red Hat Training

A Red Hat training course is available for RHEL 8

2.6. IdM 的时间服务要求

以下章节讨论了使用 chronyd 来使 IdM 主机与中央时间源同步:

2.6.1. IdM 如何使用 chronyd 进行同步

您可以使用 chronyd 使 IdM 主机与中央时间源同步,如下所述。

Kerberos 是 IdM 中的底层验证机制,使用时间戳作为其协议的一部分。如果 IdM 客户端的系统时间与密钥发布中心(KDC)的系统时间相差超过 5 分钟,则 Kerberos 身份验证会失败。

为确保 IdM 服务器和客户端与中央时间源同步,IdM 安装脚本会自动配置 chronyd 网络时间协议(NTP)客户端软件。

如果您没有将任何 NTP 选项传给 IdM 安装命令,安装程序将搜索指向网络中 NTP 服务器的 _ntp._udp DNS 服务(SRV)记录,并使用该 IP 地址配置 chrony。如果您没有任何 _ntp._udp SRV 记录,chronyd 会使用 chrony 软件包提供的配置。

注意

因为 ntpd 在RHEL 8 中已被弃用,取而代之的是 chronyd ,所以 IdM 服务器不再被配置为网络时间协议(NTP)服务器,只被配置为 NTP 客户端。RHEL 7 NTP 服务器 IdM 服务器角色在 RHEL 8 中也已被弃用。

2.6.2. IdM 安装命令的 NTP 配置选项列表

您可以使用 chronyd 使 IdM 主机与中央时间源同步。

您可以在任何 IdM 安装命令(ipa-server-installipa-replica-installipa-client-install)中指定以下选项来在设置过程中配置 chronyd 客户端软件。

表 2.1. IdM 安装命令的 NTP 配置选项列表

选项行为

--ntp-server

使用它指定一个 NTP 服务器。您可以多次使用它来指定多个服务器。

--ntp-pool

使用它指定一个解析为主机名的多个 NTP 服务器池。

-N,--no-ntp

不要配置、启动或启用 chronyd

2.6.3. 确保 IdM 可以引用您的 NTP 时间服务器

此流程验证您是否具有必要的配置,以便 IdM 能够与您的网络时间协议(NTP)时间服务器同步。

先决条件

  • 您已在环境中配置了 NTP 时间服务器。在本例中,之前配置的时间服务器的主机名为 ntpserver.example.com

流程

  1. 对您环境中的 NTP 服务器执行 DNS 服务(SRV)记录搜索。

    [user@server ~]$ dig +short -t SRV _ntp._udp.example.com
    0 100 123 ntpserver.example.com.
  2. 如果之前的 dig 搜索没有返回您的时间服务器,请添加一个指向时间服务器 123 端口的 _ntp._udp SRV 记录。这个过程取决于您的 DNS 解决方案。

验证步骤

  • 在您执行搜索 _ntp._udp SRV 记录时,DNS 验证您的时间服务器的 123 端口是否返回一条记录。

    [user@server ~]$ dig +short -t SRV _ntp._udp.example.com
    0 100 123 ntpserver.example.com.

2.6.4. 其他资源