Documente Academic
Documente Profesional
Documente Cultură
ndice do Documento
1 2 3 4 5 Objetivo do Documento............................................................................................3 Premissas Adotadas ................................................................................................3 Topologia de Teste ..................................................................................................4 Escolhendo os Servidores para Sincronia ................................................................5 Instalando o Servio de Tempo................................................................................6 5.1 Servidores Linux ..............................................................................................6 5.2 Servidores Windows ........................................................................................7 5.2.1 Checando o Processo de Ativao ............................................................14 Configurao do Servio de Tempo .......................................................................16 6.1 Servidores Linux ............................................................................................16 6.1.1 Arquivo de Configurao usado em Linux..................................................20 6.1.2 Ativao Automtica do Deamon NTP .......................................................21 6.2 Servidores Windows ......................................................................................23 6.2.1 Arquivo de Configurao usado em Windows ............................................24 6.3 Estaes de Trabalho Linux...........................................................................25 6.4 Estaes de Trabalho Windows.....................................................................26 Hierarquia de Servidores........................................................................................29 Comentrios Finais ................................................................................................30 Referncias Bibliogrficas......................................................................................31
7 8 9
Pgina 2
1 Objetivo do Documento
objetivo deste documento apresentar aos administradores de rede um guia prtico para configurao do servio de tempo para utilizao em suas infra-estruturas.
2 Premissas Adotadas
No desenvolvimento deste guia prtico foram utilizados dois servidores de tempo, e dois clientes, para os servidores foram utilizados os sistemas operacionais Linux distribuio Fedora Verso 6.0 e o Microsoft Windows 2003 Server, para as estaes cliente foram utilizados o sistema Linux distribuio Fedora Verso 6.0 e o Microsoft Windows XP.
Pgina 3
3 Topologia de Teste
Para desenvolvimento das orientaes presentes neste guia prtico de configurao do servio NTP, so utilizados dois servidores de tempo um baseado no sistema Linux e outro no sistema Microsoft Windows. Para validar o processo de configurao deste guia esto presentes dois clientes um baseado no sistema Linux e outro no sistema Microsoft Windows, conforme apresentado na figura abaixo. O switch utilizado um 3Com 5500-EI, sem nenhuma configurao especial, ou seja, todas as mquinas esto no mesmo domnio broadcast.
5500
Pgina 4
Pgina 5
Pgina 6
Pgina 7
Seguidamente apresentado o diretrio onde dever ser instalado o software servidor de tempo, caso o administrador no concorde com o path indicado este poder escolher outro diretrio conforme apresentado na figura abaixo.
Pgina 8
Uma vez selecionado o diretrio onde dever ser instalado a raiz do pacote solicitado ao administrador criao do arquivo padro de configurao porm recomendamos que seja criado uma configurao inicial sem referencia de nenhum servidor especfico conforme apresentado na figura abaixo.
Pgina 9
Definido os itens apresentados nas etapas anteriores o software ir criar como boas prticas uma conta especfica para este servio sendo associadamente definidas alguns critrios especficos definidos nos itens checkbox apresentado na janela abaixo.
Pgina 10
Como requerimento final o sistema solicitar uma senha associada conta ntp criada nas etapas anteriores conforme apresentada na figura abaixo.
Pgina 11
Uma vez preenchido todos os itens anteriores o sistema terminar seu processo de instalao informando globalmente todos os requerimentos preenchidos pelo administrador.
Pgina 12
Terminado o processo de instalao do software NTP Server for Windows o mesmo criar a estrutura de diretrio apresentado abaixo, esta estrutura ir ser utilizada no processo de configurao.
Pgina 13
Pgina 14
Uma vez ativado o servio, basta verificar por meio de um duplo click no item de anteriormente apresentado, para obter o detalhamento de ativao que dever ser semelhante aos dados apresentados na figura abaixo.
Pgina 15
1 2 # 3 ###################################################################### 4 # Definicao dos Servidores de Tempo 5 ###################################################################### 6 # 7 8 server ntp.cais.rnp.br 9 server ntp.pop-sc.rnp.br 10 server tick.nap.com.ar 11 server time.chu.nrc.ca 12 server ntp-1.mcs.anl.gov 13 server tick.fh-augsburg.de 14 server ntp.obspm.fr 15 server ntp.psn.ru 16 server ntp.cyber-fleet.net
Pgina 16
Uma vez defindo quais os servidores de sincronia utilizados devemos definir o seu escopo de acesso, isto definido pelo comando restrict que utiliza basicamente trs modificadores descritos abaixo: Nomodify, indica que sero ignorados pacotes NTP oriundos destes servidores. Noquery, indica que sero ignorados pacotes NTP que faam algum tipo de query ou solicitao de mudana de configurao, porm sero aceitos solicitaes de sincronia de tempo. Notrap, indica que nenhuma ao externa dever ser executada.
18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34
# ###################################################################### # Definicao de Restricoes de Acesso ###################################################################### # restrict ntp.cais.rnp.br restrict ntp.pop-sc.rnp.br restrict tick.nap.com.ar restrict time.chu.nrc.ca restrict ntp-1.mcs.anl.gov restrict tick.fh-augsburg.de restrict ntp.obspm.fr restrict ntp.psn.ru restrict ntp.cyber-fleet.net restrict 192.168.0.0 restrict 127.0.0.1 mask 255.255.255.255 nomodify notrap noquery mask 255.255.255.255 nomodify notrap noquery mask 255.255.255.255 nomodify notrap noquery mask 255.255.255.255 nomodify notrap noquery mask 255.255.255.255 nomodify notrap noquery mask 255.255.255.255 nomodify notrap noquery mask 255.255.255.255 nomodify notrap noquery mask 255.255.255.255 nomodify notrap noquery mask 255.255.255.255 nomodify notrap noquery mask 255.255.255.0 nomodify notrap
A linha nmero 33, indica ao servio que sero permitidas solicitaes de tempo oriundos da rede 192.168.0.0, que em nosso exemplo todo o escopo da rede interna, porm podero ser utilizados apenas alguns seguimentos pois em associao a este comando poderemos utilizar o comando mask, associadamente deveremos liberar a interface local do sistema que padronizada pelo nmero IP 127.0.0.1.
Pgina 17
Como boa prtica recomendado que o servio produza logs possibilitando assim ao administrador o acompanhamento funcional do servio, para tanto basta indicar o escopo desta gerao que em nosso exemplo all, ou seja, gera log para todas as categorias, conforme definido na linha 42, associadamente necessrio indicar a localizao de gerao deste arquivo que em nosso exemplo estar depositado em /etc/ntp/ntp.log (linha 43).
36 37 38 39 40 41 42 43
Dever ser indicado localizao de um arquivo muito importante dentro da estratgia funcional do servidor de tempo, este arquivo contm a mdia das medidas de tempo aprendidas e dever ser localizado com o comando driftfile, conforme indicado na linha 51.
45 46 47 48 49 50 51 # ###################################################################### # Definicao do Arquivo de Medicao do Relogio ###################################################################### # driftfile /etc/ntp/ntp.drift
Pgina 18
Abaixo seguem as definies que so opcionais para o funcionamento do servio, estas definem estatsticas de uso que podero posteriormente serem utilizadas para apresentar a efetividade de utilizao desta facilidade dentro da infra-estrutura, porm caso o administrador local da rede decida no utilizar esta caracterstica, os trechos compreendidos entre as linhas 53 a 62 devero ser removidas.
53 54 55 56 57 58 59 60 61 62
# ###################################################################### # Definicao de Estatisticas ###################################################################### # statsdir /etc/ntp/stats/ statistics loopstats clockstats filegen loopstats file loopstats type day enable filegen clockstats file clockstats type day enable
Pgina 19
Pgina 20
Pgina 21
Uma vez conhecido o nvel default do sistema basta adicionar o script abaixo no diretrio /etc/rc.d/rc5.d com o nome S99ntpd e seguidamente executar os seguintes comandos: 1) 2) 3) 4) 5) cd /etc/init.d vi ntpd (Arquivo criado a partir de um cut and paste) chmod 755 ntpd cd /etc/rc.d/rc5.d ln s ../init.d/ntpd S99ntpd
. /etc/rc.d/init.d/functions . /etc/sysconfig/network [ ${NETWORKING} = "no" ] && exit 0 [ -x /usr/local/bin/ntpd -a -f /etc/ntp.conf ] || exit 0 RETVAL=0 case "$1" in start) /usr/local/bin/ntpdate -s -b -p 8 -u ntp.cais.rnp.br ntp.pop-sc.rnp.br echo -n "Starting ntpd: " daemon /usr/local/bin/ntpd -c /etc/ntp.conf RETVAL=$? echo [ $RETVAL -eq 0 ] && touch /var/lock/subsys/ntpd ;; stop) # Stop daemons. echo -n "Shutting down ntpd: " killproc ntpd RETVAL=$? echo [ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/ntpd ;; status) status ntpd RETVAL=$? ;; restart|reload) $0 stop $0 start RETVAL=$? ;; *) echo "Usage: ntpd {start|stop|restart|status}" exit 1 esac exit $RETVAL
Pgina 22
Pgina 23
Pgina 24
Este procedimento adicionalmente poder ser auditado pelo administrador, pois a execuo deste comando provoca uma mensagem sistmica que pode ser facilmente localizada no arquivo de log da estao conforme apresentado abaixo.
[root@resolution ~]# tail /var/log/full.log Dec 29 12:32:30 resolution smartd[2348]: smartd has fork()ed into background mode. New PID=2348. Dec 29 12:32:32 resolution pcscd: winscard.c:219:SCardConnect() Reader E-Gate 0 0 Not Found Dec 29 12:32:32 resolution last message repeated 3 times Dec 29 12:32:33 resolution kernel: [drm] Initialized drm 1.0.1 20051102 Dec 29 12:32:33 resolution kernel: ACPI: PCI Interrupt 0000:00:02.0[A] -> GSI 16 (level, low) -> IRQ 177 Dec 29 12:32:33 resolution kernel: [drm] Initialized i915 1.5.0 20060119 on minor 0 Dec 29 12:40:01 resolution crond[2526]: (root) CMD (/usr/lib/sa/sa1 1 1) Dec 29 12:42:46 resolution sshd[2531]: Accepted password for root from 192.168.0.118 port 2961 ssh2 Dec 29 12:42:46 resolution sshd[2531]: pam_unix(sshd:session): session opened for user root by (uid=0) Dec 29 12:48:27 resolution ntpdate[2573]: step time server 192.168.0.5 offset 0.092210 sec [root@resolution ~]#
Pgina 25
Seguidamente ao procedimento anteriormente executado, ser mostrado conforme figura abaixo uma janela onde encontramos alm do relgio, que indica a hora atual do sistema local, o indicativo Horrio na Internet que dever ser selecionado.
Pgina 26
Uma vez selecionado deveremos indicar a estao o servidor de tempo a ser utilizado para sincronizar o seu relgio local em nosso exemplo dever ser utilizado o nmero IP 192.168.0.141 ou 192.168.0.5.
Pgina 27
O relgio ser automaticamente sincronizado pela hora padro indicado pelo servidor de tempo, como resultado ser mostrando a hora corrigida conforme apresentado na figura abaixo.
Uma vez definido em todas as estaes o servidor de tempo padro, estes sistemas locais sempre iniciaro com a hora devidamente sincronizada com o servio de tempo presente na infra-estrutura, isto se deve ao fato do processo de sincronizao ocorrer antes da liberao do sistema para utilizao do usurio.
Pgina 28
7 Hierarquia de Servidores
Caso em sua organizao seja necessrio utilizar mais de um servidor de tempo recomendado o uso de uma estrutura hierrquica, conforme apresentado na figura abaixo, assim as filiais preferencialmente sincronizaro seus relgios com o servidor central presente na matriz da organizao.
Matriz
Filial 3 Filial 1
Filial 2
Pgina 29
8 Comentrios Finais
Um erro muito usual no processo de instalao e configurao do servio de tempo a idia que uma vez terminado o processo o servio est imediatamente disponvel para toda a rede. Esta viso equivocada, pois o servidor demora cerca de 10 minutos para aprender dos diferentes atrasos e com isto calcular a hora corretamente, logo se recomenda aos administradores que aps seguirem estes passos, aguardem o tempo de sincronia de seu servidor.
Pgina 30
9 Referncias Bibliogrficas
1) Implementado o servio NTP na sua rede local CAIS Centro de Atendimento a Incidentes de Segurana http://www.rnp.br/_arquivo/cais/manual_ntp_v1b.pdf 2) NTP: The Network Time Protocol www.ntp.org 3) NTP Server for Windows http://www.meinberg.de/english/sw/ntp.htm#ntp_nt/
Pgina 31