Red Hat Summit1.4. Exigences en matière de services horaires pour l'IdM
Les sections suivantes traitent de l'utilisation de chronyd pour maintenir vos hôtes IdM synchronisés avec une source de temps centrale :
1.4.1. Comment IdM utilise chronyd pour la synchronisation
Cette section traite de l'utilisation de chronyd pour maintenir vos hôtes IdM synchronisés avec une source de temps centrale.
Kerberos, le mécanisme d'authentification sous-jacent à IdM, utilise des horodateurs dans le cadre de son protocole. L'authentification Kerberos échoue si l'heure système d'un client IdM diffère de plus de cinq minutes de l'heure système du centre de distribution de clés (KDC).
Pour garantir que les serveurs et les clients IdM restent synchronisés avec une source de temps centrale, les scripts d'installation IdM configurent automatiquement le logiciel client NTP (Network Time Protocol) sur le site chronyd.
Si vous ne fournissez aucune option NTP à la commande d'installation de l'IdM, le programme d'installation recherche les enregistrements de service DNS (SRV) de _ntp._udp qui pointent vers le serveur NTP de votre réseau et configure chrony avec cette adresse IP. Si vous ne disposez pas d'enregistrements SRV pour _ntp._udp, chronyd utilise la configuration fournie avec le paquet chrony.
Étant donné que ntpd a été abandonné au profit de chronyd dans RHEL 8, les serveurs IdM ne sont plus configurés en tant que serveurs NTP (Network Time Protocol) et sont uniquement configurés en tant que clients NTP. Le rôle de serveur IdM de RHEL 7 NTP Server a également été supprimé dans RHEL 8.
Ressources supplémentaires
1.4.2. Liste des options de configuration NTP pour les commandes d'installation IdM
Cette section traite de l'utilisation de chronyd pour maintenir vos hôtes IdM synchronisés avec une source de temps centrale.
Vous pouvez spécifier les options suivantes avec n'importe quelle commande d'installation de l'IdM (ipa-server-install, ipa-replica-install, ipa-client-install) pour configurer le logiciel client chronyd pendant l'installation.
| Option | Comportement |
|---|---|
|
| Utilisez-le pour spécifier un serveur NTP. Vous pouvez l'utiliser plusieurs fois pour spécifier plusieurs serveurs. |
|
| Utilisez-le pour spécifier un groupe de plusieurs serveurs NTP résolus sous un seul nom d'hôte. |
|
|
Ne configurez pas, ne démarrez pas et n'activez pas |
Ressources supplémentaires
1.4.3. S'assurer que l'IdM peut référencer votre serveur de temps NTP
Cette procédure permet de vérifier que vous avez mis en place les configurations nécessaires pour que l'IdM puisse se synchroniser avec votre serveur de temps NTP (Network Time Protocol).
Conditions préalables
-
Vous avez configuré un serveur de temps NTP dans votre environnement. Dans cet exemple, le nom d'hôte du serveur de temps précédemment configuré est
ntpserver.example.com.
Procédure
Effectuez une recherche d'enregistrement de service DNS (SRV) pour les serveurs NTP dans votre environnement.
[user@server ~]$ dig +short -t SRV _ntp._udp.example.com 0 100 123 ntpserver.example.com.
-
Si la recherche précédente
digne renvoie pas votre serveur de temps, ajoutez un enregistrement SRV_ntp._udpqui pointe vers votre serveur de temps sur le port123. Ce processus dépend de votre solution DNS.
Verification steps
Vérifiez que le DNS renvoie une entrée pour votre serveur de temps sur le port
123lorsque vous effectuez une recherche sur les enregistrements SRV_ntp._udp.[user@server ~]$ dig +short -t SRV _ntp._udp.example.com 0 100 123 ntpserver.example.com.
Ressources supplémentaires
