4.2. タイムサーバーでの Network Time Security (NTS) の有効化

手順

1. /etc/chrony.conf ファイルを編集し、次の変更を加えます。

   ntsserverkey /etc/pki/tls/private/<ntp-server.example.net>.key
   ntsservercert /etc/pki/tls/certs/<ntp-server.example.net>.crt

   Copy to Clipboard Toggle word wrap

2. 秘密鍵と証明書ファイルの両方に、ファイルの読み取りを chrony ユーザーに許可する権限を設定します。次に例を示します。

   # chown root:chrony /etc/pki/tls/private/<ntp-server.example.net>.key /etc/pki/tls/certs/<ntp-server.example.net>.crt
   
   # chmod 644 /etc/pki/tls/private/<ntp-server.example.net>.key /etc/pki/tls/certs/<ntp-server.example.net>.crt

   Copy to Clipboard Toggle word wrap
3. ntsdumpdir /var/lib/chrony 設定が存在することを確認します。

4. Firewalld で必要なポートを開きます。

   # firewall-cmd --permanent --add-port={323/udp,4460/tcp}
   # firewall-cmd --reload

   Copy to Clipboard Toggle word wrap

5. chronyd を再起動します。

   # systemctl restart chronyd

   Copy to Clipboard Toggle word wrap

検証

1. クライアントマシンからテストを実行します。

   $ chronyd -Q -t 3 'server
   
   ntp-server.example.net iburst nts maxsamples 1'
   2021-09-15T13:45:26Z chronyd version 4.1 starting (+CMDMON +NTP +REFCLOCK +RTC +PRIVDROP +SCFILTER +SIGND +ASYNCDNS +NTS +SECHASH +IPV6 +DEBUG)
   2021-09-15T13:45:26Z Disabled control of system clock
   2021-09-15T13:45:28Z System clock wrong by 0.002205 seconds (ignored)
   2021-09-15T13:45:28Z chronyd exiting

   Copy to Clipboard Toggle word wrap

   System clock wrong メッセージは、NTP サーバーが NTS-KE 接続を受け入れ、NTS で保護されている NTP メッセージで応答していることを示しています。

2. サーバーで監視されている NTS-KE 接続と認証された NTP パケットを確認します。

   # chronyc serverstats
   
   NTP packets received       : 7
   NTP packets dropped        : 0
   Command packets received   : 22
   Command packets dropped    : 0
   Client log records dropped : 0
   NTS-KE connections accepted: 1
   NTS-KE connections dropped : 0
   Authenticated NTP packets: 7

   Copy to Clipboard Toggle word wrap

   NTS-KE connections accepted および Authenticated NTP packets の値がゼロ以外の値の場合は、少なくとも 1 台のクライアントが NTS-KE ポートに接続し、認証された NTP リクエストを送信できたことを意味します。