安全 : 思科安全访问控制系统

ACS 5.x :与Ntp server配置示例的Cisco ACS同步

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

网络时间协议(NTP)是用于的协议为了同步不同的网络实体时钟。它使用UDP/123。使用此协议的主要目标将避免可变延迟的作用在数据网的。

本文为Cisco ACS同步提供一配置示例其时钟以Ntp server。ACS 5.x允许配置两个NTP服务器。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Cisco Secure ACS版本5.x

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

在Cisco ACS的NTP配置

为了与Ntp server同步Cisco ACS的时期,请完成这些步骤:

  1. 请手工配置与clock set <month> <day> <hh的日期和时间:分钟:ss> <yyyy>命令。

  2. 指定时间区域用时钟时区<timezone>命令。

  3. 指定与NTP server>命令的Ntp server < IP地址的Ntp server。

    NTP跟随客户端服务器层级。当NTP客户机配置与Ntp server时, Ntp server的参考时钟通过给客户端。需要大约10-20分钟从Ntp server得到准确的时间并且取决于延迟发生为了到达Ntp server。

    Cisco ACS使用NTP守护程序为了与Ntp server同步其时钟。它不支持简单NTP, SNTP。当NTP守护程序开始时, ACS发送包含其原始时间的数据包对Ntp server (本地)。然后Ntp server回复到有其参考时钟时间的插入的数据包。一旦NTP客户机收到此数据包,记录数据包以其自己的本地时间为了验证数据包需要的行程时间。几个这样信息包交换发生为了计算确切的往返时延延时,并且偏移值和本地时间NTP客户机与Ntp server的参考时钟终于同步。

验证

使用本部分可确认配置能否正常运行。

为了验证配置细节,参考这些命令输出片断。

acs51/admin#show clock
Wed Jun 13 11:02:00 IST 2012
acs51/admin#
acs51/admin(config)#ntp server 192.168.26.55
The NTP server was modified.
If this action resulted in a clock modification, you must restart ACS.
acs51/admin(config)#
acs51/admin#show ntp
Primary NTP   : 192.168.26.55

synchronised to NTP server (192.168.26.55) at stratum 2
   time correct to within 27 ms
   polling server every 64 s

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
127.127.1.0     LOCAL(0)        10 l   29   64   17    0.000    0.000   0.001
*192.168.26.55   .LOCL.           1 u   33   64   17    0.285   -9.900   2.733

Warning: Output results may conflict during periods of changing synchronization.

注意: 是指定的测量close如何是Ntp server对主要参考参考时钟。每NTP客户机与的层n服务器同步被叫做和在层n+1级别。

参考从ACS的这些应用程序日志消息为了验证NTP同步详细信息。

acs51/admin# show logging application | in ntp
Jun 13 13:51:59 acs51 ntpd[20259]: ntpd 4.2.0a@1.1190-r Mon Jul 28 11:03:50 EDT 2008 (1)
Jun 13 13:51:59 acs51 ntpd[20259]: precision = 1.000 usec
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, 0.0.0.0#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, ::#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface lo, 127.0.0.1#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface eth0, 192.168.26.51#123
Jun 13 13:51:59 acs51 ntpd[20259]: kernel time sync status 0040
Jun 13 13:51:59 acs51 ntpd[20259]: frequency initialized 0.000 PPM from /var/lib/ntp/drift
Jun 13 13:51:59 acs51 ntpd: ntpd startup succeeded
Jun 13 13:55:15 acs51 ntpd[20259]: synchronized to 192.168.26.55, stratum 2


!--- Output suppressed–

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

故障排除

本部分提供的信息可用于对配置进行故障排除。

问题:当ACS在VMWare计算机时,安装时钟漂移太多和NTP发生故障

Cisco ACS配置使用Ntp server作为时钟源,但是连续变成内部时间源。当这发生时,执行notallow用户从活动目录验证,当Kerberos只支持300秒时差。

解决方案

当ESXi主机有高CPU利用率时,然后一样频繁地不为VMs服务象正常。这影响时钟在VMs里面和实际上从超出五分钟的Windows域控制器的原因时钟漂移。它造成Kerberos失败。这将影响Windows VM,不用NTP或主机时钟同步。虚拟时钟提交了到Cisco ACS不足够稳定的为了NTP能跟上偏差,它最终恢复对使用作为时间源。

注意: NTP守护程序调节在几交换的时钟并且继续,直到客户端得到准确的时间。然而,当Ntp server和NTP客户机之间的延迟变得太大时,然后NTP守护程序终止,并且您需要手工调节时间和重新启动NTP守护程序。

设置解决此问题,当您集成VMWare工具支持到Cisco ACS时,用Cisco ACS版本5.4是可用的将发布。参考Cisco Bug ID CSCtg50048 (仅限注册用户)欲知更多信息。作为临时应急方案,您可能尝试这些步骤:

  • 终止与stop命令的ACS的ACS服务。

  • 删除所有NTP配置并且保存配置用write mem命令

  • 重新启动Cisco ACS。

  • 确保所有服务以显示应用程序状态acs命令运行。

  • 以前设置时钟是一样接近实时尽可能,对第二在NTP的抵销需求。

  • 确保时区是正确一个。

  • 重新加写NTP配置并且保存它。

  • 如果输出是相同的,请执行显示ntp命令为了验证。

注意: 如果这些步骤不解决问题,您建议与Cisco TAC联系

在ACS以后的接口IP地址丢失的NTP同步更改

如果更改ACS NIC的IP地址,这做NTP出去同步。

解决方案

此行为被观察和登陆的Cisco Bug ID CSCtk76151 (仅限注册用户)。当修改时ACS IP地址,重新启动ACS应用程序,但是不是NTP守护程序。它在ACS版本5.3.0.23修复。为了解决在以前的版本的此问题,请完成这些步骤:

  1. 发出没有ntp server命令为了终止NTP进程。

  2. 补发ntp server命令为了重新启动NTP进程。


相关信息


Document ID: 113579