Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

Chapitre 28. Aperçu de la sécurité temporelle du réseau (NTS) dans chrony

download PDF

Network Time Security (NTS) est un mécanisme d'authentification pour le protocole NTP (Network Time Protocol), conçu pour s'adapter à un nombre important de clients. Il vérifie que les paquets reçus des machines serveurs ne sont pas altérés lorsqu'ils sont transmis à la machine cliente. Network Time Security (NTS) comprend un protocole d'établissement de clés (NTS-KE) qui crée automatiquement les clés de cryptage utilisées entre le serveur et ses clients.

28.1. Activation de la sécurité temporelle du réseau (NTS) dans le fichier de configuration du client

Par défaut, Network Time Security (NTS) n'est pas activé. Vous pouvez l'activer sur le site /etc/chrony.conf. Pour ce faire, procédez comme suit :

Conditions préalables

  • Serveur avec support NTS

Procédure

Dans le fichier de configuration du client :

  1. Spécifiez le serveur avec l'option nts en plus de l'option recommandée iburst. 

    For example:
server time.example.com iburst nts
server nts.netnod.se iburst nts
server ptbtime1.ptb.de iburst nts

  2. Pour éviter de répéter la session Network Time Security-Key Establishment (NTS-KE) lors du démarrage du système, ajoutez la ligne suivante à chrony.conf, si elle n'est pas présente : 

    ntsdumpdir /var/lib/chrony

  3. Pour désactiver la synchronisation avec les serveurs NTP (Network Time Protocol) fournis par DHCP, commentez ou supprimez la ligne suivante dans chrony.conf, si elle est présente : 

    sourcedir /run/chrony-dhcp
  4. Enregistrez vos modifications.

  5. Redémarrez le service chronyd: 

    systemctl restart chronyd

Vérification

  • Vérifiez si les clés NTS ont été établies avec succès : 

    # chronyc -N authdata

Name/IP address  Mode KeyID Type KLen Last Atmp  NAK Cook CLen
================================================================
time.example.com  NTS     1   15  256  33m    0    0    8  100
nts.sth1.ntp.se   NTS     1   15  256  33m    0    0    8  100
nts.sth2.ntp.se   NTS     1   15  256  33m    0    0    8  100

    Les valeurs de KeyID, Type et KLen doivent être différentes de zéro. Si la valeur est nulle, vérifiez dans le journal du système s'il y a des messages d'erreur provenant de chronyd.

  • Vérifiez que le client effectue des mesures NTP : 

    # chronyc -N sources

MS Name/IP address Stratum Poll Reach LastRx Last sample
=========================================================
time.example.com   3        6   377    45   +355us[ +375us] +/-   11ms
nts.sth1.ntp.se    1        6   377    44   +237us[ +237us] +/-   23ms
nts.sth2.ntp.se    1        6   377    44   -170us[ -170us] +/-   22ms

    La colonne Reach doit avoir une valeur non nulle, idéalement 377. Si la valeur atteint rarement ou jamais 377, cela indique que des requêtes ou des réponses NTP se perdent dans le réseau.

Ressources supplémentaires

  • chrony.conf(5) page de manuel
Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.