Segurança : Cisco Secure Access Control System

ACS 5.x: Sincronização de Cisco ACS com exemplo de configuração do servidor de NTP

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

O Network Time Protocol (NTP) é um protocolo usado a fim sincronizar os pulsos de disparo de entidades de rede diferentes. Usa UDP/123. O objetivo principal para usar este protocolo é evitar os efeitos da latência variável sobre as redes de dados.

Este documento fornece uma configuração de exemplo para Cisco ACS para sincronizar seu pulso de disparo com o servidor de NTP. O ACS 5.x é permitido configurar até dois servidores de NTP.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Versão 5.x do Cisco Secure ACS

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Configuração de NTP em Cisco ACS

A fim sincronizar a época de Cisco ACS com um servidor de NTP, termine estas etapas:

  1. Configurar manualmente a data e hora com o <hh ajustado do <day> do <month> do pulso de disparo: minuto: comando do <yyyy> do ss>.

  2. Especifique a zona de hora (fuso horário) com o comando do <timezone> do fuso horário do pulso de disparo.

  3. Especifique o servidor de NTP com o servidor de NTP < endereço IP de Um ou Mais Servidores Cisco ICM NT do comando do server> NTP.

    O NTP segue uma hierarquia do servidor cliente. Quando um cliente de NTP é configurado com um servidor de NTP, o relógio de referência do servidor de NTP está passado ao cliente. Toma aproximadamente 10-20 minutos para obter o tempo precisa do servidor de NTP e depende do atraso ocorre a fim alcançar o servidor de NTP.

    Cisco ACS usa o demônio NTP a fim sincronizar seu pulso de disparo com o servidor de NTP. Não apoia o NTP simples, SNTP. Quando o demônio NTP começa, o ACS envia um pacote ao servidor de NTP que contém seu tempo original (local). Então o servidor de NTP responde ao pacote com a inserção de seu tempo do relógio de referência. Uma vez que o cliente de NTP recebe este pacote, registra o pacote com seu próprio horário local a fim validar o tempo de viagem tomado pelo pacote. Diversos tais intercâmbios de pacotes ocorrem a fim calcular o tempo de retardo de round trip exato e os valores de deslocamento e o horário local do cliente de NTP são sincronizados finalmente com o relógio de referência do servidor de NTP.

Verificar

Use esta seção para confirmar se a sua configuração funciona corretamente.

A fim verificar os detalhes de configuração, refira estes a snippet da saída do comando.

acs51/admin#show clock
Wed Jun 13 11:02:00 IST 2012
acs51/admin#
acs51/admin(config)#ntp server 192.168.26.55
The NTP server was modified.
If this action resulted in a clock modification, you must restart ACS.
acs51/admin(config)#
acs51/admin#show ntp
Primary NTP   : 192.168.26.55

synchronised to NTP server (192.168.26.55) at stratum 2
   time correct to within 27 ms
   polling server every 64 s

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
127.127.1.0     LOCAL(0)        10 l   29   64   17    0.000    0.000   0.001
*192.168.26.55   .LOCL.           1 u   33   64   17    0.285   -9.900   2.733

Warning: Output results may conflict during periods of changing synchronization.

Nota:  O estrato é uma medida que especifique como próximo é o servidor de NTP ao pulso de disparo de referência principal. Cada cliente de NTP que é sincronizado com um server do estrato n é denominado como a nível do estrato n+1.

Refira estas mensagens de log do aplicativo do ACS a fim verificar os detalhes da sincronização de NTP.

acs51/admin# show logging application | in ntp
Jun 13 13:51:59 acs51 ntpd[20259]: ntpd 4.2.0a@1.1190-r Mon Jul 28 11:03:50 EDT 2008 (1)
Jun 13 13:51:59 acs51 ntpd[20259]: precision = 1.000 usec
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, 0.0.0.0#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, ::#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface lo, 127.0.0.1#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface eth0, 192.168.26.51#123
Jun 13 13:51:59 acs51 ntpd[20259]: kernel time sync status 0040
Jun 13 13:51:59 acs51 ntpd[20259]: frequency initialized 0.000 PPM from /var/lib/ntp/drift
Jun 13 13:51:59 acs51 ntpd: ntpd startup succeeded
Jun 13 13:55:15 acs51 ntpd[20259]: synchronized to 192.168.26.55, stratum 2


!--- Output suppressed–

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Problema: As alterações de relógio demasiado e o NTP falham quando o ACS é instalado em uma máquina de VMware

Cisco ACS é configurado para usar o servidor de NTP como o origem do relógio mas muda continuamente ao origem de tempo interno. Quando isto acontece, faz usuários do notallow para autenticar do diretório ativo enquanto o Kerberos apoia somente 300 segundos da diferença de horário.

Solução

Quando o host de ESXi tem a utilização elevada da CPU, a seguir não serve VM tão frequentemente quanto o normal. Isto afeta os pulsos de disparo dentro dos VM e realmente a alteração de relógio da causa de um controlador do domínio do Windows que exceda cinco minutos. Faz com que o Kerberos falhe. Isto impactaria Windows VM sem NTP ou hospedaria a sincronização de relógio também. Como o pulso de disparo virtual apresentou a Cisco ACS não é estável bastante para que o NTP prossiga com a tração, ele reverte eventualmente a se usar como um origem de tempo.

Nota: O demônio NTP ajusta o pulso de disparo em diversas trocas e continua até que o cliente obtenha o tempo precisa. Contudo, quando o atraso entre o servidor de NTP e o cliente de NTP se torna demasiado grande, a seguir o demônio NTP obtém terminado e você precisa de ajustar manualmente o tempo e de reiniciar o demônio NTP.

Este problema está ajustado para ser resolvido quando você integra o apoio das ferramentas de VMware em Cisco ACS, que está disponível com liberação 5.4 de Cisco ACS que deve ser liberada ainda. Refira a identificação de bug Cisco CSCtg50048 (clientes registrados somente) para mais informação. Como uma solução temporária, você poderia tentar estas etapas:

  • Pare serviços ACS com o comando stop ACS.

  • Remova toda a configuração de NTP e salvar a configuração com um comando write mem.

  • Recarregue Cisco ACS.

  • Certifique-se que todos os serviços estão sendo executado com o comando dos acs do estado do aplicativo da mostra.

  • Ajuste o pulso de disparo para realizar-se tão perto ao tempo real quanto possível, ao segundo antes da exigência do offset no NTP.

  • Certifique-se que o fuso horário é o correto.

  • Adicionar novamente a configuração de NTP e salvar a.

  • Execute o comando NTP da mostra a fim verificar se a saída é a mesma.

Nota: Se estas etapas não resolvem a edição, você está recomendado contactar o tac Cisco.

A sincronização de NTP perdida após o endereço IP de Um ou Mais Servidores Cisco ICM NT da relação do ACS é mudada

Se você muda o endereço IP de Um ou Mais Servidores Cisco ICM NT de ACS NIC, este faz o NTP sair da sincronização.

Solução

Este comportamento é observado e a identificação de bug Cisco entrada CSCtk76151 (clientes registrados somente). Quando o endereço IP de Um ou Mais Servidores Cisco ICM NT ACS é alterado, reinicia o aplicativo ACS mas não o demônio NTP. É fixado na versão de ACS 5.3.0.23. A fim resolver esta edição nas versões anterior, termine estas etapas:

  1. Não emita nenhum comando ntp server a fim parar o processo NTP.

  2. Reedite o comando ntp server a fim reiniciar o processo NTP.


Informações Relacionadas


Document ID: 113579