Безопасность : Система управления доступом Cisco Secure Access Control System

ACS 5. x : Синхронизация ACS Cisco с Примером конфигурации NTP Server

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Протокол NTP является протоколом, используемым для синхронизации часов других объектов сети. Это использует UDP/123. Главная цель для использования этого протокола должна избежать эффектов переменной задержки по сетям передачи данных.

Этот документ предоставляет пример конфигурации для ACS Cisco для синхронизации его часов с NTP server. ACS 5.x позволяют настроить до двух Ntp server.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Версия 5 Cisco Secure ACS. x

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Конфигурация NTP на ACS Cisco

Для синхронизации времени ACS Cisco с NTP server выполните эти шаги:

  1. Вручную настройте дату и времю с clock set <месяц> <день> <hh:min:ss> команда <yyyy>.

  2. Задайте часовой пояс с командой <timezone> часового пояса.

  3. Задайте NTP server с адресом <IP NTP server NTP server> команда.

    NTP придерживается иерархии клиент-сервер. Когда клиент NTP настроен с NTP server, Системные часы NTP server передают клиенту. Это занимает приблизительно 10-20 минут для получения точного времени от NTP server и зависит от задержки, происходит для достижения NTP server.

    ACS Cisco использует демона NTP для синхронизации его часов с NTP server. Это не поддерживает Простой NTP, SNTP. Когда демон NTP запускается, ACS передает пакет к NTP server, который содержит его исходное (Локальное) время. Затем NTP server отвечает на пакет со вставкой его времени Системных часов. Как только клиент NTP получает этот пакет, он регистрирует пакет со своим собственным местным временем для проверки времени перемещения, потраченного пакетом. Несколько таких обменов пакетами происходят для вычисления точного времени задержки приема-передачи и значений сдвига, и наконец местное время клиента NTP синхронизируется с Системными часами NTP server.

Проверка.

Воспользуйтесь данным разделом для проверки правильности функционирования вашей конфигурации.

Для подтверждения элементов конфигурации обратитесь к этим выходным command фрагментам.

acs51/admin#show clock
Wed Jun 13 11:02:00 IST 2012
acs51/admin#
acs51/admin(config)#ntp server 192.168.26.55
The NTP server was modified.
If this action resulted in a clock modification, you must restart ACS.
acs51/admin(config)#
acs51/admin#show ntp
Primary NTP   : 192.168.26.55

synchronised to NTP server (192.168.26.55) at stratum 2
   time correct to within 27 ms
   polling server every 64 s

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
127.127.1.0     LOCAL(0)        10 l   29   64   17    0.000    0.000   0.001
*192.168.26.55   .LOCL.           1 u   33   64   17    0.285   -9.900   2.733

Warning: Output results may conflict during periods of changing synchronization.

Примечание:  Страта является мерой, которая задает, как близко NTP server к Основному опорному синхрогенератору. Как каждый клиент NTP, который синхронизируется со стратой n сервер, называют в страте n+1 уровень.

Сошлитесь на эти сообщения журнала приложения от ACS для подтверждения подробных данных Синхронизации NTP.

acs51/admin# show logging application | in ntp
Jun 13 13:51:59 acs51 ntpd[20259]: ntpd 4.2.0a@1.1190-r Mon Jul 28 11:03:50 EDT 2008 (1)
Jun 13 13:51:59 acs51 ntpd[20259]: precision = 1.000 usec
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, 0.0.0.0#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, ::#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface lo, 127.0.0.1#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface eth0, 192.168.26.51#123
Jun 13 13:51:59 acs51 ntpd[20259]: kernel time sync status 0040
Jun 13 13:51:59 acs51 ntpd[20259]: frequency initialized 0.000 PPM from /var/lib/ntp/drift
Jun 13 13:51:59 acs51 ntpd: ntpd startup succeeded
Jun 13 13:55:15 acs51 ntpd[20259]: synchronized to 192.168.26.55, stratum 2


!--- Output suppressed–

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Проблема: Когда ACS установлен на машине VMware, уход часов слишком много и NTP отказывают

ACS Cisco настроен для использования NTP server в качестве источника синхронизации, но это непрерывно изменяется на внутренний источник времени. Когда это происходит, это делает notallow пользователей для аутентификации из Active Directory, поскольку Kerberos только поддерживает 300 секунд разницы во времени.

Решение

Когда хост ESXi имеет высокую загрузку ЦП, тогда это не служит VM так же часто как обычный. Это влияет на часы в VM, и фактически вызовите уход часов от контроллера домена Windows, который превышает пять минут. Это заставляет Kerberos отказывать. Это повлияло бы на Windows VM без NTP или разместило бы тактовую синхронизацию также. Поскольку действительные часы, представленные ACS Cisco, не достаточно стабильны для NTP, чтобы не отставать от дрейфа, это в конечном счете возвращается к использованию себя как источник времени.

Примечание: Демон NTP отрегулировал часы в нескольких обменах и продолжается, пока клиент не получает точное время. Однако, когда задержка между NTP Server и Клиентом NTP становится слишком большой, тогда демон NTP завершен, и необходимо отрегулировать время вручную и перезапустить демона NTP.

Эта проблема собирается быть решенной при интеграции поддержки программных средств VMware в ACS Cisco который доступен с выпуском 5.4 ACS Cisco, который должен все же быть освобожден. Обратитесь к идентификатору ошибки Cisco CSCtg50048 (только зарегистрированные клиенты) для получения дополнительной информации. Как временный обходной путь, вы могли попробовать эти шаги:

  • Остановите сервисы ACS с командой ACS stop.

  • Удалите всю конфигурацию NTP и сохраните конфигурацию с командой write mem.

  • Перезагрузка ACS Cisco.

  • Удостоверьтесь, что все сервисы работают с командой show application status acs.

  • Заставьте часы быть максимально близко к реальному времени к второму прежде требования смещения на NTP.

  • Удостоверьтесь, что Часовой пояс является корректным.

  • Повторно добавьте конфигурацию NTP и сохраните ее.

  • Выполните команду show ntp, чтобы проверить, являются ли выходные данные тем же.

Примечание: Если эти шаги не решают вопрос, вам советуют связаться с Центром технической поддержки Cisco.

Синхронизация NTP проиграла после того, как IP-адрес интерфейса ACS изменен

При изменении IP-адреса NIC ACS это заставляет NTP выйти из синхронизования.

Решение

Это поведение наблюдается и входится идентификатор ошибки Cisco CSCtk76151 (только зарегистрированные клиенты). Когда IP-адрес ACS модифицируется, он перезапускает приложение ACS, но не демона NTP. Это исправлено в версии ACS 5.3.0.23. Для решения этого вопроса в предыдущих версиях выполните эти шаги:

  1. Выполните команду no ntp server для остановки процесса NTP.

  2. Переиздайте команду ntp server для перезапуска процесса NTP.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 113579