Configurar a autenticação NTP no ISE

Introduction

Este documento descreve como configurar a autenticação do Network Time Protocol (NTP) no Cisco Identity Services Engine (ISE) e solucionar problemas de autenticação do NTP.

Contribuído por Ankush Kaidalwar, engenheiro do TAC da Cisco.

Prerequisites

Requirements

Recomenda-se que você tenha conhecimento destes tópicos:

• configuração de CLI do Cisco ISE
• Conhecimento básico do NTP

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Nó autônomo do ISE 2.7
• CISCO2911/K9 Versão 15.2(1)T2
  
  

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Configurar

Diagrama de Rede

Configurações

Antes de Começar

Você deve ter a função Super Admin ou Administrador do sistema atribuída para acesso ao ISE.

Certifique-se de que a porta NTP não esteja bloqueada no caminho de trânsito entre os servidores ISE e NTP.

Supõe-se que você tenha seus servidores NTP configurados no ISE. Se desejar alterar os servidores NTP, navegue para Administration > System > Settings > System Time. Para um pequeno vídeo, você pode ver https://www.youtube.com/watch?v=Bl7loWfb6TE

Note: No caso de implantação distribuída, escolha o mesmo servidor Network Time Protocol (NTP) para todos os nós. Para evitar problemas de fuso horário entre os nós, você deve fornecer o mesmo nome de servidor NTP durante a instalação de cada nó. Isso garante que os relatórios e registros dos vários nós em sua implantação sejam sempre sincronizados com carimbos de data e hora.

Note: Não é possível alterar o fuso horário da GUI. Você pode fazer isso por meio da CLI, que exige a reinicialização do serviço ISE para esse nó específico. Recomenda-se que você use o fuso horário preferencial (UTC padrão) no momento da instalação quando o assistente de configuração inicial solicitar os fusos horários. Consulte CSCvo49755 relacionado a ativar o comando CLI clock timezone.

Se você tiver nós Cisco ISE primários e secundários em sua implantação, faça login na interface de usuário de cada nó e configure a hora do sistema e as configurações do servidor Network Time Protocol (NTP).

Você pode configurar a autenticação NTP no ISE a partir da GUI ou da CLI.

Etapas da GUI

Etapa 1. Navegue até Administration > System > Settings > System Time e clique em NTP Authentication Keys., como mostrado nesta imagem.

Etapa 2. Aqui você pode adicionar uma ou mais chaves de autenticação. Clique em Adicionar, você obterá um pop-up. Aqui, o campo ID da chave suporta valores numéricos entre 1 e 65535 e o campo Valor da chave suporta até 15 caracteres alfanuméricos. O valor-chave é a chave NTP real que é usada para autenticar o ISE como o cliente para o servidor NTP. Além disso, o ID da chave deve corresponder ao configurado no servidor NTP. Escolha o valor HMAC (Hash Message Authentication Code) necessário na lista suspensa HMAC.

Etapa 3. Clique em OK e em Salvar chaves de autenticação. Você retorna à guia Configuração do servidor NTP.

Etapa 4. Agora, na lista suspensa de teclas, você verá a ID da chave configurada na etapa 3. Clique na respectiva ID de chave se você tiver várias IDs de chave configuradas. Em seguida, clique em Salvar.

Etapas da CLI

Etapa 1. Configure a chave de autenticação NTP.

admin(config)# ntp authentication-key ?
<1-65535> Key number >>> This is the Key ID
admin(config)# ntp authentication-key 1 ? >>> Here you can choose the HMAC value
md5 MD5 authentication
sha1 SHA1 authentication
sha256 SHA256 authentication
sha512 SHA512 authentication
admin(config)# ntp authentication-key 1 md5 ? >>> You can choose either to paste the hash of the actual key or type the key in plain text. 
hash Specifies an ENCRYPTED (hashed) key follows
plain Specifies an UNENCRYPTED plain text key follows

admin(config)# ntp authentication-key 1 md5 plain Ntp123 >>> Ensure there are no spaces given at the end of the key.

Etapa 2. Defina o servidor NTP e associe a ID da chave configurada na etapa 1.

admin(config)# ntp server IP/HOSTNAME ?
key Peer key number
<cr> Carriage return.

admin(config)# ntp serve IP/HOSTNAME key ?
<1-65535>

admin(config)# ntp serve IP/HOSTNAME key 1 ?
<cr> Carriage return.

admin(config)# ntp serve IP/HOSTNAME key 1

Configuração no roteador

O roteador atua como um servidor NTP. Configure esses comandos para ativar o roteador como um servidor NTP com autenticação NTP.

ntp authentication-key 1 md5 Ntp123 >>> The same key that you configured on ISE
ntp authenticate
ntp master STRATUM

Verificar

No ISE:

Use o comando show ntp. Se a autenticação NTP for bem-sucedida, você deverá ver o ISE para ser sincronizado com o servidor NTP.

admin# sh ntp
Configured NTP Servers:
NTP_SERVER_IP

Reference ID : 0A6A23B1 (NTP_SERVER_IP)
Stratum : 3
Ref time (UTC) : Fri Mar 26 09:14:31 2021
System time : 0.000008235 seconds fast of NTP time
Last offset : +0.000003193 seconds
RMS offset : 0.000020295 seconds
Frequency : 10.472 ppm slow
Residual freq : +0.000 ppm
Skew : 0.018 ppm
Root delay : 0.000571255 seconds
Root dispersion : 0.000375993 seconds
Update interval : 519.3 seconds
Leap status : Normal >>> If there is any issue in NTP synchronization, it shows "Not synchronised".

210 Number of sources = 1
MS Name/IP address Stratum Poll Reach LastRx Last sample
===============================================================================
^* NTP_SERVER_IP 2 9 377 100 +3853ns[+7046ns] +/- 684us

M indicates the mode of the source.
^ server, = peer, # local reference clock.

S indicates the state of the sources.
* Current time source, + Candidate, x False ticker, ? Connectivity lost, ~ Too much variability

Warning: Output results can conflict at the time of changing synchronization.

admin#

Troubleshoot

Esta seção fornece as informações que você pode usar para solucionar problemas de sua configuração.

1. Se a autenticação NTP não estiver funcionando, a primeira etapa para garantir a acessibilidade entre o ISE e o servidor NTP.
   
   
2. Verifique se a configuração da ID da chave corresponde ao ISE e ao servidor NTP.
   
   
3. Verifique se o ID da chave está configurado como chave confiável no servidor NTP.
   
   
4. As versões mais antigas do ISE, como 2.4 e 2.6, suportam o comando ntp trust-key. Certifique-se de ter configurado a chave NTP como chave confiável nessas versões do ISE.
   
   
5. O ISE 2.7 introduz uma alteração no comportamento para a sincronização do NTP. Embora as versões anteriores usem ntpd, as versões 2.7 e superiores usam a cronia. O Chrony tem requisitos diferentes do ntpd. Um dos mais notáveis é que, enquanto a ntpd sincroniza com servidores que têm uma dispersão de raiz de até 10 segundos, a cronia só sincroniza quando a dispersão de raiz está abaixo de 3 segundos. Isso faz com que os servidores NTP que foram capazes de sincronizar o pré-upgrade, fiquem fora de sincronia em 2.7 sem nenhum motivo evidente.
   
   

   Devido a essa alteração, os problemas de sincronização do NTP seriam vistos com frequência se você usasse o servidor NTP do Windows, já que eles relatam uma dispersão de raiz muito grande (3 segundos ou mais) e isso faz com que a crônica ignore o servidor NTP como muito impreciso.

Defeitos de referência

• https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvw78019/
• https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvw03693

Informações Relacionadas

• Guia de solução de problemas e depuração de problemas do Network Time Protocol (NTP)