NTPサーバの設定

時刻同期用サービス提供用のNTPサーバを構築して行きます。

NTPサーバがあれば、同一ネットワーク上の各サーバやクライアントが、NTPサーバの時刻を基準に時刻を同期出来ます。

特に、Kerberos認証などを利用しているネットワークでは必須なサービスとなります。

構築環境は、CentOSで行いました。

 

ntpのインストール

インストール

yum install ntp

 

自動起動するように設定します。

chkconfig ntpd on

 

自信の時刻を同期

NTPサーバになる自信の時刻を、インターネットで公開されているNTPサーバと同期させます。

/etc/ntp.confのserver行だけ編集します。

ntp.conf

server ntp1.ring.gr.jp
server ntp2.ring.gr.jp
server ntp3.ring.gr.jp

 

編集したら、ntpdを再起動します。

/etc/init.d/ntpd restart

 

同期の確認

時刻同期出来てるかの確認は、以下のコマンドで確認出来ます。

ntpq -p

 

正しく設定でき、時刻が同期されれば以下のような結果が表示されます。

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*ring.nict.go.jp 133.243.238.244  2 u  511 1024  377   15.952   -0.290   0.643
+ring.ix.oita-u. 133.37.223.92    3 u  487 1024  377   46.179   -0.655   0.140
 LOCAL(0)        .LOCL.          10 l   23   64  377    0.000    0.000   0.001

なお、設定してすぐには同期が完了しませんので、同期するまでには多少の時間が必要です。

同期作業中の場合は、*や+の印が出ませんが、ある程度の時間がすぎれば同期され、*や+の印が出てきます。

 

 

NTPサーバとしての設定

自信の時刻同期は出来ましたので、これを、他のサーバやクライアントにNTPサービスとして提供する設定をしていきます。

なお、このNTPサーバは同一ネットワーク内へのNTPサービスを提供する事に限定します。

 

NTPのセキュリティ設定

デフォルトでは、自信のNTPサービスは何処からも利用出来ないようになっていると思います。

同一ネットワークにサービを提供するには、参照されても良いネットワークを設定ファイルに追記して行きます。

ここでは、192.168.1.0/24のネットワークに対して、サービスを提供する事とします。

/etc/ntp.confを以下のように変更します。

# Hosts on local network are less restricted.
restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap

 

編集したら、ntpdを再起動します。

/etc/init.d/ntpd restart

同一ネットワークの他のマシンで、このNTPサーバで時刻同期するよう設定し確認してください。

 

restrictでネットワークを指定した後に続くオプションの一覧は以下の通りです。

ignore : すべてのNTPアクセスを拒否

noquery : 時刻問い合わせ問い合わせを拒否

nomodify : 設定変更要求は拒否

notrust : 時刻同期の情報源としては使用しない

notrap : 状変時にトラップを出さない

nopeer : 指定ホストと相互に同期しない

 

 

設定ファイル全体

/etc/ntp.conf

# Permit time synchronization with our time source, but do not
# permit the source to query or modify the service on this system.
restrict default kod nomodify notrap nopeer noquery デフォルトで、NTP問い合わせを不許可
restrict -6 default kod nomodify notrap nopeer noquery

# Permit all access over the loopback interface.  This could
# be tightened as well, but to do so would effect some of
# the administrative functions.
restrict 127.0.0.1 自信の時刻同期は許可
restrict -6 ::1

# Hosts on local network are less restricted.
restrict 192.168.11.0 mask 255.255.255.0 nomodify notrap 問い合わせを許可するネットワークを指定

# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
server ntp1.ring.gr.jp
server ntp2.ring.gr.jp
server ntp3.ring.gr.jp

#broadcast 192.168.1.255 key 42         # broadcast server
#broadcastclient                        # broadcast client
#broadcast 224.0.1.1 key 42             # multicast server
#multicastclient 224.0.1.1              # multicast client
#manycastserver 239.255.254.254         # manycast server
#manycastclient 239.255.254.254 key 42  # manycast client

# Undisciplined Local Clock. This is a fake driver intended for backup
# and when no outside source of synchronized time is available.
server  127.127.1.0     # local clock
fudge   127.127.1.0 stratum 10  

# Drift file.  Put this in a directory which the daemon can write to.
# No symbolic links allowed, either, since the daemon updates the file
# by creating a temporary in the same directory and then rename()'ing
# it to the file.
driftfile /var/lib/ntp/drift

# Key file containing the keys and key identifiers used when operating
# with symmetric key cryptography.
keys /etc/ntp/keys

# Specify the key identifiers which are trusted.
#trustedkey 4 8 42

# Specify the key identifier to use with the ntpdc utility.
#requestkey 8

# Specify the key identifier to use with the ntpq utility.
#controlkey 8

Leave a Comment


NOTE - You can use these HTML tags and attributes:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <img localsrc="" alt="">