Configurar a autenticação NTP no ISE

Opções de download

  • PDF     (444.2 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (273.1 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (308.7 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:16 de maio de 2023
ID do documento:217215

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como configurar a autenticação NTP no Cisco Identity Services Engine (ISE) e solucionar problemas de autenticação NTP.

    Contribuição de Ankush Kaidalwar, engenheiro do Cisco TAC.

    Pré-requisitos

    Requisitos

    Recomenda-se que você tenha conhecimento destes tópicos:

    • Configuração CLI do Cisco ISE
    • Conhecimento básico do Network Time Protocol (NTP)

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • Nó autônomo do ISE 2.7
    • CISCO2911/K9 Versão 15.2(1)T2

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Configurar

    Diagrama de Rede

    high-level network

    Configurações

    Antes de Começar

    Você deve ter a função de administrador Super Admin ou Administrador de sistema atribuída para acesso ao ISE.

    Certifique-se de que a porta NTP não esteja bloqueada no caminho de trânsito entre o ISE e os servidores NTP.

    Supõe-se que você tenha seus servidores NTP configurados no ISE. Se desejar alterar o(s) servidor(es) NTP, navegue para Administração > Sistema > Configurações > Hora do sistema. Para assistir a um breve vídeo, consulte https://www.youtube.com/watch?v=Bl7loWfb6TE

    Observação: no caso de implantação distribuída, escolha o mesmo servidor Network Time Protocol (NTP) para todos os nós. Para evitar problemas de fuso horário entre os nós, você deve fornecer o mesmo nome de servidor NTP durante a instalação de cada nó. Isso garante que os relatórios e logs dos vários nós em sua implantação estejam sempre sincronizados com carimbos de data e hora.

    Observação: não é possível alterar o fuso horário da GUI. Você pode fazer isso via CLI, que exige a reinicialização do serviço ISE para esse nó específico. É recomendável que você use o fuso horário preferencial (UTC padrão) no momento da instalação quando o assistente de configuração inicial solicitar os fusos horários. Consulte o ID de bug da Cisco CSCvo49755 relacionado à ativação do comando clock timezone da CLI.


    Se você tiver nós Cisco ISE primários e secundários em sua implantação, deverá fazer login na interface de usuário de cada nó e definir as configurações de hora do sistema e do servidor Network Time Protocol (NTP).

    Você pode configurar a autenticação NTP no ISE a partir da GUI ou da CLI.

    Etapas da GUI

    Etapa 1. Navegue para Administration > System > Settings > System Time e clique em NTP Authentication Keys, como mostrado nesta imagem.

    NTP Authentication GUI

    Etapa 2. Aqui você pode adicionar uma ou mais chaves de autenticação. Clique em Adicionar e você receberá um pop-up. Aqui, o campo ID da chave suporta valores numéricos entre 1 e 65535 e o campo Valor da chave suporta até 15 caracteres alfanuméricos. O valor da chave é a chave NTP real que é usada para autenticar o ISE como o cliente para o servidor NTP. Além disso, o ID da chave deve corresponder ao configurado no servidor NTP. Escolha o valor de HMAC (Hash Message Authentication Code) necessário na lista suspensa HMAC.

    Authentication Key GUI

    Etapa 3. Clique em OK e em Save Authentication Keys. Você retorna à guia Configuração do servidor NTP.

    Etapa 4. Agora na lista suspensa de chaves, você verá a ID da chave que configurou na etapa 3. Clique no respectivo ID da chave se você tiver vários IDs de chave configurados. Em seguida, clique em Salvar.

    GUI System Time Configuration

    Etapas da CLI

    Etapa 1. Configure a chave de autenticação do NTP.

    admin(config)# ntp authentication-key ?
    <1-65535> Key number >>> This is the Key ID
    admin(config)# ntp authentication-key 1 ? >>> Here you can choose the HMAC value
    md5 MD5 authentication
    sha1 SHA1 authentication
    sha256 SHA256 authentication
    sha512 SHA512 authentication
    admin(config)# ntp authentication-key 1 md5 ? >>> You can choose either to paste the hash of the actual key or type the key in plain text. 
    hash Specifies an ENCRYPTED (hashed) key follows
    plain Specifies an UNENCRYPTED plain text key follows

    admin(config)# ntp authentication-key 1 md5 plain Ntp123 >>> Ensure there are no spaces given at the end of the key.

    Etapa 2. Defina o servidor NTP e associe o ID da chave configurado na etapa 1.

    admin(config)# ntp server IP/HOSTNAME ?
    key Peer key number
    <cr> Carriage return.

    admin(config)# ntp serve IP/HOSTNAME key ?
    <1-65535>

    admin(config)# ntp serve IP/HOSTNAME key 1 ?
    <cr> Carriage return.

    admin(config)# ntp serve IP/HOSTNAME key 1

    Configuração no roteador

    O roteador atua como um servidor NTP. Configure esses comandos para ativar o roteador como um servidor NTP com autenticação NTP.

    ntp authentication-key 1 md5 Ntp123 >>> The same key that you configured on ISE
    ntp authenticate
    ntp master STRATUM

    Verificar

    No ISE:

    Use o comando show ntp. Se a autenticação NTP for bem-sucedida, você deverá ver o ISE para ser sincronizado com o servidor NTP.

    admin# sh ntp
    Configured NTP Servers:
    NTP_SERVER_IP

    Reference ID : 0A6A23B1 (NTP_SERVER_IP)
    Stratum : 3
    Ref time (UTC) : Fri Mar 26 09:14:31 2021
    System time : 0.000008235 seconds fast of NTP time
    Last offset : +0.000003193 seconds
    RMS offset : 0.000020295 seconds
    Frequency : 10.472 ppm slow
    Residual freq : +0.000 ppm
    Skew : 0.018 ppm
    Root delay : 0.000571255 seconds
    Root dispersion : 0.000375993 seconds
    Update interval : 519.3 seconds
    Leap status : Normal >>> If there is any issue in NTP synchronization, it shows "Not synchronised".

    210 Number of sources = 1
    MS Name/IP address Stratum Poll Reach LastRx Last sample
    ===============================================================================
    ^* NTP_SERVER_IP 2 9 377 100 +3853ns[+7046ns] +/- 684us

    M indicates the mode of the source.
    ^ server, = peer, # local reference clock.

    S indicates the state of the sources.
    * Current time source, + Candidate, x False ticker, ? Connectivity lost, ~ Too much variability

    Warning: Output results can conflict at the time of changing synchronization.

    admin#

    Troubleshooting

    Esta seção fornece as informações que você pode usar para solucionar problemas da sua configuração.

    1. Se a autenticação NTP não funcionar, a primeira etapa para garantir é a acessibilidade entre o ISE e o servidor NTP.

    2. Verifique se a configuração do ID da chave corresponde ao ISE e ao servidor NTP.

    3. Verifique se o ID da chave está configurado como trusted-key no servidor NTP.

    4. As versões mais antigas do ISE, como 2.4 e 2.6, suportam o comando ntp trusted-key. Certifique-se de ter configurado a chave NTP como chave confiável nessas versões do ISE.

    5. O ISE 2.7 introduz uma mudança no comportamento da sincronização NTP. Enquanto as versões anteriores usam ntpd, as versões 2.7 e posteriores usam crony. O Chrony tem requisitos diferentes do ntpd. Um dos mais perceptíveis é que enquanto o ntpd sincroniza com servidores que têm uma dispersão raiz de até 10 segundos, o chrony sincroniza apenas quando a dispersão raiz está abaixo de 3 segundos. Isso faz com que os servidores NTP que foram capazes de sincronizar a pré-atualização fiquem fora de sincronia em 2.7 sem qualquer razão evidente.

      Devido a essa alteração, os problemas de sincronização do NTP seriam vistos com frequência se você usasse o servidor NTP do Windows, pois eles relatam uma dispersão raiz muito grande (3 ou mais segundos) e isso faz com que o chronyd ignore o servidor NTP como muito impreciso.

    Defeitos de referência

    ID de bug da Cisco CSCvw78019

    ID de bug da Cisco CSCvw03693

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    2.0
    16-May-2023
    Recertificação
    1.0
    28-Jun-2021
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Ankush Kaidalwar

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos