1.4. IdM のタイムサービス要件
以下のセクションでは、chronyd
を使用して、IdM ホストを中央タイムソースと同期させる方法を説明します。
1.4.1. IdM で chronyd
を同期に使用する方法
chronyd
を使用して、ここで説明するように、IdM ホストを中央タイムソースと同期させることができます。
IdM の基礎となる認証メカニズムである Kerberos は、プロトコルの一部としてタイムスタンプを使用します。IdM クライアントのシステム時間が、KDC (Key Distribution Center) のシステム時間と比べて 5 分以上ずれると、Kerberos 認証に失敗します。
IdM インストールスクリプトは、IdM サーバーおよびクライアントが中央タイムソースと同期したままになるように、chronyd
Network Time Protocol (NTP) クライアントソフトウェアを自動設定します。
IdM インストールコマンドに NTP オプションを指定しないと、インストーラーは、ネットワークの NTP サーバーを参照する _ntp._udp
DNS サービス (SRV) レコードを検索し、その IP アドレスで chrony
を設定します。_ntp._udp
SRV レコードがない場合は、chronyd
は chrony
パッケージに同梱の設定を使用します。
RHEL 8 では chronyd
が優先されるため、ntpd
は非推奨となっており、IdM サーバーは Network Time Protocol (NTP) サーバーとして設定されず、NTP クライアントとしてのみ設定されます。RHEL 7 の NTP サーバー
の IdM サーバーロールも、RHEL 8 では非推奨になりました。
1.4.2. IdM インストールコマンドの NTP 設定オプションのリスト
chronyd
を使用して、IdM ホストを中央タイムソースと同期させることができます。
IdM インストールコマンド (ipa-server-install
、ipa-replica-install
、ipa-client-install
) のいずれかを指定して、設定時に chronyd
クライアントソフトウェアを設定できます。
オプション | 動作 |
---|---|
| これを使用して NTP サーバーを 1 つ指定します。複数回使用して、複数のサーバーを指定できます。 |
| 複数の NTP サーバーのプールを指定して、1 つのホスト名として解決する場合には、これを使用します。 |
|
|
1.4.3. IdM が NTP タイムサーバーを参照できるようにする方法
この手順では、Network Time Protocol (NTP) タイムサーバーとの同期できるように、IdM で必要とされる設定があるかどうかを確認します。
前提条件
-
お使いの環境で NTP タイムサーバーを設定している。この例では、以前に設定したタイムサーバーのホスト名は
ntpserver.example.com
である。
手順
環境内で NTP サーバーの DNS サービス (SRV) レコード検索を実行します。
[user@server ~]$ dig +short -t SRV _ntp._udp.example.com 0 100 123 ntpserver.example.com.
-
以前の
dig
検索でタイムサーバーが返されない場合は、ポート123
でタイムサーバーを参照する_ntp._udp
SRV レコードを追加します。このプロセスは、お使いの DNS ソリューションにより異なります。
検証
_ntp._udp
SRV レコードの検索時に、DNS がポート123
でタイムサーバーのエントリーが返されることを確認します。[user@server ~]$ dig +short -t SRV _ntp._udp.example.com 0 100 123 ntpserver.example.com.