2.6. IdM 的时间服务要求
以下章节讨论了使用 chronyd
来使 IdM 主机与中央时间源同步:
2.6.1. IdM 如何使用 chronyd
进行同步
您可以使用 chronyd
使 IdM 主机与中央时间源同步,如下所述。
Kerberos 是 IdM 中的底层验证机制,使用时间戳作为其协议的一部分。如果 IdM 客户端的系统时间与密钥发布中心(KDC)的系统时间相差超过 5 分钟,则 Kerberos 身份验证会失败。
为确保 IdM 服务器和客户端与中央时间源同步,IdM 安装脚本会自动配置 chronyd
网络时间协议(NTP)客户端软件。
如果您没有将任何 NTP 选项传给 IdM 安装命令,安装程序将搜索指向网络中 NTP 服务器的 _ntp._udp
DNS 服务(SRV)记录,并使用该 IP 地址配置 chrony
。如果您没有任何 _ntp._udp
SRV 记录,chronyd
会使用 chrony
软件包提供的配置。
因为 ntpd
在RHEL 8 中已被弃用,取而代之的是 chronyd
,所以 IdM 服务器不再被配置为网络时间协议(NTP)服务器,只被配置为 NTP 客户端。RHEL 7 NTP 服务器
IdM 服务器角色在 RHEL 8 中也已被弃用。
2.6.2. IdM 安装命令的 NTP 配置选项列表
您可以使用 chronyd
使 IdM 主机与中央时间源同步。
您可以在任何 IdM 安装命令(ipa-server-install
、ipa-replica-install
、ipa-client-install
)中指定以下选项来在设置过程中配置 chronyd
客户端软件。
选项 | 行为 |
---|---|
| 使用它指定一个 NTP 服务器。您可以多次使用它来指定多个服务器。 |
| 使用它指定一个解析为主机名的多个 NTP 服务器池。 |
|
不要配置、启动或启用 |
2.6.3. 确保 IdM 可以引用您的 NTP 时间服务器
此流程验证您是否具有必要的配置,以便 IdM 能够与您的网络时间协议(NTP)时间服务器同步。
先决条件
-
您已在环境中配置了 NTP 时间服务器。在本例中,之前配置的时间服务器的主机名为
ntpserver.example.com
。
流程
对您环境中的 NTP 服务器执行 DNS 服务(SRV)记录搜索。
[user@server ~]$ dig +short -t SRV _ntp._udp.example.com 0 100 123 ntpserver.example.com.
-
如果之前的
dig
搜索没有返回您的时间服务器,请添加一个指向时间服务器123
端口的_ntp._udp
SRV 记录。这个过程取决于您的 DNS 解决方案。
验证
在您执行搜索
_ntp._udp
SRV 记录时,DNS 验证您的时间服务器的123
端口是否返回一条记录。[user@server ~]$ dig +short -t SRV _ntp._udp.example.com 0 100 123 ntpserver.example.com.