25. fejezet - Időszinkronizálás NTP-vel

25. fejezet - Időszinkronizálás NTP-vel¶

Tartalomjegyzék

25.1. NTP-kliens beállítása YaST segítségével
25.2. NTP kézi beállítása a hálózaton
25.3. Dinamikus időszinkronizáció futás közben
25.4. Helyi referenciaóra beállítása

Kivonat

Az NTP (Network Time Protocol) a rendszer idejének hálózaton keresztüli szinkronizálására szolgáló protokoll. Az első lehetőség, hogy a gép lekéri az időt egy megbízható időforrásnak számító kiszolgálóról. A második lehetőség, hogy a gép maga is időforrásként működik a hálózat más számítógépei számára. Tehát az NTP feladata az abszolút idő fenntartása és a rendszeridő szinkronizálása a hálózat összes gépén.

A pontos rendszeridő fenntartása számos helyzetben fontos. A beépített hardveróra (BIOS) gyakran nem felel meg az alkalmazások – például adatbázisok vagy fürtök – követelményeinek. A rendszeridő kézi javítása számos problémához vezethet, egy visszafelé ugrás például a kritikus alkalmazások hibás működését eredményezheti. A hálózatban általában az összes gép rendszeridejét szinkronizálni kell, de a kézi időbeállítás nem jó megközelítés. Az NTP megfelelő mechanizmust biztosít az ilyen jellegű problémák megoldásához. Az NTP-szolgáltatás megbízható időkiszolgálói segítségével folyamatosan kiigazítja a rendszeridőt. Lehetővé teszi továbbá a helyi referenciaórák – például rádióvezérelt órák – használatát.

25.1. NTP-kliens beállítása YaST segítségével¶

Az NTP-démon (ntpd), amely az ntp csomag része úgy van alapértelmezetten beállítva, hogy a helyi gép óráját vegye alapul időreferenciaként. A BIOS óra használata azonban csak tartalék megoldás arra az esetre, ha nem áll rendelkezésre pontosabb időforrás. A YaST megkönnyíti az NTP-kliens beállítását.

25.1.1. Alapkonfiguráció¶

Az YaST NTP-kliens beállítása (Hálózati szolgáltatások+NTP beállítás) mindössze két párbeszédablakból áll. Állítsa be az ntpd indításának módját és a lekérdezendő kiszolgálót az Általános beállítások lapon.

25.1. ábra - Szakértői NTP-beállítások: Általános beállítások¶

Csak kézzel: Használja a Csak kézzel lehetőséget, ha mindent egyedül kíván beállítani.
Szinkronizáció démon használata nélkül: Hordozható számítógépeken és olyan eszközökön, amelyek automatikus képesek a működés felfüggesztésére a Szinkronizáció démon használata nélkül. Ennek a módnak a használatával a YaST a szinkronizációhoz nem indítja el az ntpd démont a számítógépen. Ehelyett a YaST egy crontab bejegyzést (/etc/cron.d/novell.ntp-synchronize) készít, amely ellenőrzi az időt a időkiszolgálóval a Szinkronizációs időköz percekben beállított értéknek megfelelően. A cron működésével kapcsolatos további információ itt található: 18.1.2. - A cron csomag
Most és rendszerindításkor: Használja a Most és rendszerindításkor beállítást, ha azt szeretné, hogy az az ntpd automatikusan elinduljon a rendszer indulásakor. A 0.opensuse.pool.ntp.org, 1.opensuse.pool.ntp.org, 2.opensuse.pool.ntp.org vagy 3.opensuse.pool.ntp.org előre ki van jelölve.

25.1.2. Alapbeállítások módosítása¶

A kiszolgálók és a kliens egyéb lekérdezendő időforrásainak listája az Általános beállítások lapon látható. A Hozzáadás, Szerkesztés és Törlés gomb segítségével igény szerint módosíthatja a listát. A Napló megtekintése gomb megnyomására megtekinthetők a kliens naplófájljai.

Új időforrás hozzáadásához kattintson a Hozzáadás menüpontra. A következő párbeszédablakban válassza ki a forrás típusát, amellyel az időszinkronizációt végre kell hajtani. A következő lehetőségek használhatók:

25.2. ábra - YaST: NTP-kiszolgáló¶

Kiszolgáló

A Kiválasztás25.2. ábra - YaST: NTP-kiszolgáló legördülő menüben lehet megadni meg, hogy az időszinkronizálás a helyi hálózat időkiszolgálója (Helyi NTP-kiszolgáló) segítségével történjen, vagy egy, a helyi időzónát kezelő internetes időkiszolgálón keresztül (Nyilvános NTP-kiszolgáló). Helyi időkiszolgáló esetén kattintson a Kikeresés menüpontra; ez elindít egy, a hálózat rendelkezésre álló időkiszolgálóira vonatkozó SLP-lekérdezést. A keresési eredmények listájában válassza ki a legmegfelelőbb időkiszolgálót és az OK gomb segítségével lépjen ki a párbeszédablakból. Nyilvános időkiszolgáló esetén a Nyilvános NTP-kiszolgáló alatti listában válassza ki az országot (az időzónát) és a megfelelő kiszolgálót, majd az OK gomb segítségével lépjen ki a párbeszédablakból. Ebben az ablakban a Teszt gomb megnyomásával lehetőség van a megadott kiszolgáló elérhetőségének vizsgálatára.

Egy másik ablakban lehetőség van az NTP-kiszolgáló kiválasztására. Jelölje meg az Ezt a gépet használja kezdeti szinkronizációra négyzetet, ha azt kívánja, hogy rendszerindításkor a kiszolgáló és a kliens között az időadatok szinkronizálásra kerüljenek. Az Opciók menüpontban az ntpd további beállításai adhatók meg.

A Hozzáférés-felügyeleti beállítások részben korlátozható, hogy milyen műveleteket végezhet a távoli számítógép a démont futtató saját számítógépen. Ez a beállítás csak akkor érhető el, ha megjelölte az NTP-szolgáltatás korlátozása csak a beállított kiszolgálókra pontot a Biztonsági beállítások lapon (lásd: 25.3. ábra - Szakértői NTP-beállítások: Biztonsági beállítások). A beállítások az /etc/ntp.conf restrict szakaszainak felelnek meg. Például a nomodify notrap noquery megtiltja a kiszolgálónak, hogy módosíthassa a számítógép NTP-beállításait, és letiltja az NTP-démon trap (távoli eseménynaplózási) funkcióját. Ezeket a korlátozásokat célszerű beállítani az olyan gépeken, amelyeket nem teljes mértékben saját maga kezel (mert például kint vannak az interneten).

Részletes információ az /usr/share/doc/packages/ntp-doc (az ntp-doc csomag része) fájlban található.

Társkiszolgáló

A társkiszolgáló (peer) egy olyan gép, amellyel szimmetrikus kapcsolat kerül kiépítésre: időkiszolgálóként és kliensként is működik. Ha egy kiszolgáló helyett társkiszolgálót kíván használni ugyanabban a hálózatban, akkor adja meg a megfelelő rendszer címét. A párbeszédablak további része megegyezik a Kiszolgáló párbeszédablakkal.

Rádióóra

Ha a rendszerben rádióórát kíván használni az időszinkronizációhoz, akkor ebben a párbeszédablakban adja meg az óra típusát, az egység számát, az eszköz nevét és az egyéb beállításokat. Az illesztőprogram finomhangolásához válassza ki az Illesztőprogram finomhangolása lehetőséget. A helyi rádióórák működéséről részletes információt az /usr/share/doc/packages/ntp-doc/refclock.html fájl tartalmaz.

Nyilvános szórás (broadcast)

Az időinformáció és a lekérdezések üzenetszórással (broadcast) is továbbíthatók a hálózatban. Ebben a párbeszédablakban adja meg a címet, amelyre a nyilvános üzeneteket küldeni kell. Csak akkor aktiválja a nyilvános szórást, ha van megbízható időforrás, mint amilyen például egy rádiós vezérlésű óra.

Nyilvános csomagok fogadása

Ha azt kívánja, hogy a kliens az információt nyilvános üzenetek formájában kapja meg, akkor ezekben a mezőkben adja meg a címet, amelyről a megfelelő csomagokat fogadni kell.

25.3. ábra - Szakértői NTP-beállítások: Biztonsági beállítások¶

A Biztonsági beállítások lapon (lásd 25.3. ábra - Szakértői NTP-beállítások: Biztonsági beállítások)lehet beállítani, hogy az ntpd démon ''chroot jail''-módban induljon. Az NTP démon futtatása Chroot környezetben lehetőség alapértelmezésben aktív. Ez megnöveli a biztonságot egy ntpd-n keresztüli támadás esetén, mivel megakadályozza, hogy a támadó a teljes rendszert veszélyeztesse.

Az NTP-szolgáltatás korlátozása csak a beállított kiszolgálókra beállítás megnöveli a rendszer biztonságát, mivel megtiltja a távoli számítógépeknek, hogy megtekintsék és módosítsák a gép NTP-beállításait, illetve használják a távoli eseménynaplózási (trap) funkciót. Bekapcsolás után ezek a korlátozások minden távoli számítógépre vonatkozni fognak, hacsak felül nem írja az egyes gépek hozzáférés-vezérlési beállításait az Általános beállítások lap időforrás-listájában. Minden egyéb távoli számítógép számára csupán a helyi idő lekérdezése engedélyezett.

Engedélyezze a Tűzfalport megnyitása lehetőséget, ha a SuSEfirewall aktív (ez az alapértelmezett beállítás). Ha a portot zárva hagyja, akkor nem létesíthető kapcsolat az időkiszolgálóval.

25.2. NTP kézi beállítása a hálózaton¶

Az időkiszolgáló használatának legegyszerűbb módja egy lekérdezhető időkiszolgáló paramétereinek beállítása. Ha például a ntp.example.com nevű időkiszolgáló elérhető a hálózatban, akkor adja hozzá a nevét az /etc/ntp.conf fájlhoz a következő sor hozzáfűzésével:

server ntp.example.com

Több időkiszolgáló hozzáadásához vegyen fel további sorokat a server kulcsszóval. Miután megtörtént az ntpd inicializálása az rcntp start paranccsal, körülbelül egy óráig tart az idő stabilizálása. Létrejön egy úgynevezett csúszási (drift) fájl a helyi számítógépóra igazításához. A csúszási fájl segítségével kiszámítható a hardveróra szisztematikus hibája. A javítás azonnal alkalmazásra kerül, és a rendszeridő nagyobb stabilitását eredményezi.

Az NTP-mechanizmust a kliensek kétféleképp használhatják: Az első lehetőség, hogy a kliens rendszeres időközönként lekéri az időt egy ismert kiszolgálóról. Sok kliens esetén ez azonban nagyon nagy terhelést jelenthet a kiszolgáló számára. A második lehetőség, hogy a kliens a hálózat üzenetszóró időkiszolgálói által küldött NTP üzenetszórási üzenetekre vár. A megközelítés hátránya, hogy a kiszolgáló minősége nem ismert, és a rossz információt küldő kiszolgáló súlyos problémákat okozhat.

Ha az idő üzenetszórással kerül szétosztásra, akkor nincs szükség a kiszolgáló nevére. Ebben az esetben az /etc/ntp.conf konfigurációs fájlba írja be a broadcastclient sort. Egy vagy több ismert időkiszolgáló kizárólagos használatához a servers szóval kezdődő sorban adja meg ezeknek a nevét.

25.3. Dinamikus időszinkronizáció futás közben¶

Amennyiben a rendszer hálózati kapcsolat nélkül indul el, az ntpd elindul, de nem tudja feloldani a konfigurációs fájlban található időkiszolgáló DNS nevét. Ez a Network Manager titkosított WLAN használata esetén fordulhat elő.

Hogy az ntpd, a rendszer futása közbeni képes legyen a DNS nevek feloldására, úgy a dinamikus beállítást kell alkalmazni. Ekkor a hálózati kapcsolat létrejötte után, valamivel a rendszerindítást követően, az ntpd újra megpróbálja feloldani az időkiszolgáló nevét, hogy megkapja a megfelelő időt.

Kézzel szerkessze az /etc/ntp.conf fájlt és adja hozzá dynamic paramétert egy vagy több server bejegyzéshez:

server ntp.example.com dynamic

Vagy használja a YaST a következő módon:

A YaST elindítása után válassza ki a Hálózati szolgáltatások+NTP beállítása modult.
Válassza ki a beállítani kívánt kiszolgálót. Nyomja meg a Szerkesztés gombot.
Lépjen a Beállítások mezőre és írja be a dynamic paramétert. Több beállítás használata esetén hagyjon szóközt közöttük.
Az ablak bezárásához nyomja meg az OK gombot. Ismételje meg ezeket a lépéseket az összes szükséges kiszolgáló esetén.
Végül a beállítások mentéséhez nyomja meg az OK gombot.

25.4. Helyi referenciaóra beállítása¶

Az ntp szoftvercsomag illesztőprogramokat tartalmaz helyi referenciaórák csatlakoztatásához. A támogatott órák listáját az ntp-doc csomag /usr/share/doc/packages/ntp-doc/refclock.html fájlja tartalmazza. Minden illesztőprogramhoz egy szám van rendelve. Az ntp-ben a tényleges beállítás pszeudo IP-címek segítségével történik. Az /etc/ntp.conf fájlban úgy vannak megadva az órák, mintha a hálózatban lennének. Erre a célra egy speciális IP-cím van hozzájuk rendelve 127.127.t.u formátumban. A t az óra típusát jelzi és meghatározza, hogy mely illesztőprogram kerül alkalmazásra, az u pedig az egységet, amely meghatározza a használt felületet.

Az egyedi illesztőprogramok általában speciális paraméterekkel rendelkeznek, amelyek leírják a konfiguráció részleteit. Az /usr/share/doc/packages/ntp-doc/drivers/driverNN.html (amelyben az NN az illesztőprogramok száma) az adott óratípusról ad információt. A „8-as típusú” órához (soros csatolón keresztül használt rádiós óra) például szükség van egy kiegészítő módra, amely pontosabban leírja az órát. A Conrad DCF77 vevőmodulok módja az 5-ös. Ahhoz, hogy ez az óra legyen az elsődleges referencia, adja meg a prefer kulcsszót. A Conrad DCF77 vevőmodul teljes server sora az alábbi lenne:

server 127.127.8.0 mode 5 prefer

A többi óra ugyanezt a mintát követi. Az ntp-doc csomag telepítése után az /usr/share/doc/packages/ntp-doc könyvtárban rendelkezésre áll az xntp dokumentáció. Az /usr/share/doc/packages/ntp-doc/refclock.html fájl hivatkozásokat biztosít az illesztőprogram-paramétereket leíró oldalakhoz.