Seguridad : Cisco Secure Access Control System

ACS 5.x: Sincronización de Cisco ACS con el ejemplo de configuración del servidor NTP

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

El Network Time Protocol (NTP) es un protocolo usado para sincronizar los relojes de diversas entidades de red. Utiliza UDP/123. El objetivo principal para utilizar este protocolo es evitar los efectos del tiempo de espera variable sobre las redes de datos.

Este documento proporciona una configuración de muestra para Cisco ACS para sincronizar su reloj con el servidor NTP. El ACS 5.x se permite configurar a hasta dos servidores NTP.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Versión 5.x del Cisco Secure ACS

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección.

Configuración del NTP en Cisco ACS

Para sincronizar la época de Cisco ACS con un servidor NTP, complete estos pasos:

  1. Configure manualmente la fecha y hora con el <hh determinado del <day> del <month> del reloj: minuto: comando del <yyyy> del ss>.

  2. Especifique el huso horario con el comando del <timezone> del timezone del reloj.

  3. Especifique al servidor NTP con el servidor NTP < la dirección IP del comando del server> NTP.

    El NTP sigue una jerarquía del servidor del cliente. Cuando configuran a un cliente NTP con un servidor NTP, el reloj de referencia del servidor NTP se pasa al cliente. Tarda aproximadamente 10-20 minutos para conseguir el tiempo preciso del servidor NTP y depende del retardo ocurre para alcanzar al servidor NTP.

    Cisco ACS utiliza la daemon NTP para sincronizar su reloj con el servidor NTP. No soporta el NTP simple, SNTP. Cuando la daemon NTP comienza, el ACS envía un paquete al servidor NTP que contiene su tiempo original (local). Entonces el servidor NTP contesta al paquete con la inserción de su tiempo de reloj de referencia. Una vez que el cliente NTP recibe este paquete, registra el paquete con su propia hora local para validar el tiempo que viaja llevado por el paquete. Varios tales intercambios de paquetes ocurren para calcular el tiempo de retardo de ida y vuelta exacto y los valores de desplazamiento y finalmente la hora local de cliente NTP se sincronizan con el reloj de referencia del servidor NTP.

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

Para verificar a los detalles de la configuración, refiera a este snippets de la salida de comando.

acs51/admin#show clock
Wed Jun 13 11:02:00 IST 2012
acs51/admin#
acs51/admin(config)#ntp server 192.168.26.55
The NTP server was modified.
If this action resulted in a clock modification, you must restart ACS.
acs51/admin(config)#
acs51/admin#show ntp
Primary NTP   : 192.168.26.55

synchronised to NTP server (192.168.26.55) at stratum 2
   time correct to within 27 ms
   polling server every 64 s

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
127.127.1.0     LOCAL(0)        10 l   29   64   17    0.000    0.000   0.001
*192.168.26.55   .LOCL.           1 u   33   64   17    0.285   -9.900   2.733

Warning: Output results may conflict during periods of changing synchronization.

Nota:  El estrato es una medida que especifica cómo está cercano está el servidor NTP al reloj de referencia primaria. Llaman a cada cliente NTP que se sincroniza con un servidor del estrato n como en el n+1 del estrato llano.

Refiera a estos mensajes de log de aplicaciones del ACS para verificar los detalles de la sincronización NTP.

acs51/admin# show logging application | in ntp
Jun 13 13:51:59 acs51 ntpd[20259]: ntpd 4.2.0a@1.1190-r Mon Jul 28 11:03:50 EDT 2008 (1)
Jun 13 13:51:59 acs51 ntpd[20259]: precision = 1.000 usec
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, 0.0.0.0#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, ::#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface lo, 127.0.0.1#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface eth0, 192.168.26.51#123
Jun 13 13:51:59 acs51 ntpd[20259]: kernel time sync status 0040
Jun 13 13:51:59 acs51 ntpd[20259]: frequency initialized 0.000 PPM from /var/lib/ntp/drift
Jun 13 13:51:59 acs51 ntpd: ntpd startup succeeded
Jun 13 13:55:15 acs51 ntpd[20259]: synchronized to 192.168.26.55, stratum 2


!--- Output suppressed–

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Problema: Los desvíos del reloj demasiado y el NTP falla cuando el ACS está instalado en una máquina de VMware

Cisco ACS se configura para utilizar al servidor NTP como la fuente de reloj pero cambia continuamente a la fuente horaria interna. Cuando sucede esto, hace a los usuarios del notallow para autenticar del Active Directory mientras que el Kerberos soporta solamente 300 segundos de la diferencia de tiempo.

Solución

Cuando el host de ESXi tiene CPU elevada utilización, después no sirve los VM tan con frecuencia como normal. Esto afecta a los relojes dentro de los VM y realmente al desvío del reloj de la causa de un regulador del Dominio de Windows que exceda cinco minutos. Hace el Kerberos fallar. Esto afectaría Windows VM sin el NTP o recibiría la Sincronización por reloj también. Como el reloj virtual presentó a Cisco ACS no es bastante estable para que el NTP continúe con la deriva, él invierte eventual a usarse como fuente horaria.

Nota: La daemon NTP ajusta el reloj en varios intercambios y continúa hasta que el cliente obtenga el tiempo preciso. Sin embargo, cuando el retardo entre el servidor NTP y el cliente NTP llega a ser demasiado grande, después la daemon NTP consigue terminada y usted necesita ajustar el tiempo manualmente y recomenzar la daemon NTP.

Este problema se fija para ser resuelto cuando usted integra el soporte de las herramientas de VMware en Cisco ACS, que está disponible con la versión 5.4 de Cisco ACS que debe todavía ser liberada. Refiera al Id. de bug Cisco CSCtg50048 (clientes registrados solamente) para más información. Como solución provisoria, usted podría intentar estos pasos:

  • Pare los servicios ACS con el comando stop ACS.

  • Quite toda la configuración del NTP y salve la configuración con un comando write mem.

  • Reinicie Cisco ACS.

  • Aseegurese todos los servicios se están ejecutando con el comando de los acs del estatus de la aplicación de la demostración.

  • Fije el reloj para ser tan cerca al tiempo real como sea posible, al segundo antes del requisito del desplazamiento en el NTP.

  • Aseegurese el timezone es el correcto.

  • Re-agregue la configuración del NTP y sálvela.

  • Realice el comando NTP de la demostración para verificar si la salida es lo mismo.

Nota: Si estos pasos no resuelven el problema, le aconsejan entrar en contacto el TAC de Cisco.

La sincronización NTP perdida después de la dirección IP de la interfaz del ACS se cambia

Si usted cambia la dirección IP de ACS NIC, éste hace que el NTP sale de sincroniza.

Solución

Se observa este comportamiento y el Id. de bug Cisco abierto una sesión CSCtk76151 (clientes registrados solamente). Cuando se modifica la dirección IP ACS, recomienza la aplicación ACS pero no la daemon NTP. Se repara en el ACS versión 5.3.0.23. Para resolver este problema en las versiones anteriores, complete estos pasos:

  1. No publique el ningún comando ntp server para parar el proceso NTP.

  2. Reedite el comando ntp server para recomenzar el proceso NTP.


Información Relacionada


Document ID: 113579