Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

28.2. Activation de la sécurité temporelle du réseau (NTS) sur le serveur

download PDF

Si vous utilisez votre propre serveur NTP (Network Time Protocol), vous pouvez activer le support NTS (Network Time Security) du serveur pour permettre à ses clients de se synchroniser en toute sécurité.

Si le serveur NTP est un client d'autres serveurs, c'est-à-dire s'il n'est pas un serveur de strate 1, il doit utiliser NTS ou une clé symétrique pour sa synchronisation.

Conditions préalables

  • Clé privée du serveur au format PEM
  • Certificat du serveur avec les certificats intermédiaires requis au format PEM

Procédure

  1. Indiquez la clé privée et le fichier de certificat dans le champ chrony.conf 

    For example:
ntsserverkey /etc/pki/tls/private/foo.example.net.key
ntsservercert /etc/pki/tls/certs/foo.example.net.crt

  2. Assurez-vous que les fichiers de clés et de certificats sont lisibles par l'utilisateur du système chrony, en définissant la propriété du groupe. 

    For example:
chown :chrony /etc/pki/tls/*/foo.example.net.*
  3. Assurez-vous que la directive ntsdumpdir /var/lib/chrony est présente dans le fichier chrony.conf.

  4. Redémarrez le service chronyd: 

    systemctl restart chronyd
    Important

    Si le serveur est équipé d'un pare-feu, il doit autoriser les ports UDP 123 et TCP 4460 pour NTP et Network Time Security-Key Establishment (NTS-KE).

Vérification

  • Effectuez un test rapide à partir d'une machine cliente à l'aide de la commande suivante : 

    $ chronyd -Q -t 3 'server

foo.example.net iburst nts maxsamples 1'
2021-09-15T13:45:26Z chronyd version 4.1 starting (+CMDMON +NTP +REFCLOCK +RTC +PRIVDROP +SCFILTER +SIGND +ASYNCDNS +NTS +SECHASH +IPV6 +DEBUG)
2021-09-15T13:45:26Z Disabled control of system clock
2021-09-15T13:45:28Z System clock wrong by 0.002205 seconds (ignored)
2021-09-15T13:45:28Z chronyd exiting

    Le message System clock wrong indique que le serveur NTP accepte les connexions NTS-KE et répond avec des messages NTP protégés par NTS.

  • Vérifiez les connexions NTS-KE et les paquets NTP authentifiés observés sur le serveur : 

    # chronyc serverstats

NTP packets received       : 7
NTP packets dropped        : 0
Command packets received   : 22
Command packets dropped    : 0
Client log records dropped : 0
NTS-KE connections accepted: 1
NTS-KE connections dropped : 0
Authenticated NTP packets: 7

    Si la valeur des champs NTS-KE connections accepted et Authenticated NTP packets est différente de zéro, cela signifie qu'au moins un client a pu se connecter au port NTS-KE et envoyer une requête NTP authentifiée.

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.