ACS 5.x:NTPサーバとのCisco ACS同期の設定例

ダウンロード オプション

  • PDF     (374.5 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (82.0 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (70.9 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2012 年 6 月 15 日
Document ID:1713417399864540

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

ネットワーク タイム プロトコル(NTP)は、異なるネットワーク エンティティのクロックを同期するために使用されるプロトコルです。UDP/123 を使用します。このプロトコルを使用する主な目的は、データ ネットワーク上の可変の遅延による影響を回避することです。

このドキュメントでは、NTP サーバとクロックを同期するための、Cisco ACS の設定例を示します。ACS 5.x では、2 台までの NTP サーバを設定できます。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • Cisco Secure ACS バージョン 5.x

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションでは、このドキュメントで説明する機能を設定するために必要な情報を提供しています。

注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を参照してください。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことをご了承ください。

Cisco ACS の NTP 設定

Cisco ACS の時間を NTP サーバと同期するには、次の手順を実行します。

  1. clock set <month> <day> <hh:min:ss> <yyyy>コマンドを使用して、日時を手動で設定します。

  2. clock timezone <timezone> コマンドで時間帯を指定します。

  3. NTP server <IP address of NTP server> コマンドで NTP サーバを指定します。

    NTP は、クライアント サーバ階層に従います。NTP クライアントが NTP サーバで設定されると、NTP サーバの基準クロックがクライアントに渡されます。NTP サーバから正確な時刻を取得するには、約 10 ~ 20 分かかり、これは、NTP サーバに到達するために発生する遅延により異なります。

    Cisco ACS は、NTP デーモンを使用して、NTP サーバとクロックを同期します。Cisco ACS は Simple NTP(SNTP)をサポートしていません。NTP デーモンが開始されると、ACS は、元の時間(ローカル)を含む NTP サーバにパケットを送信します。次に、NTP サーバは、基準クロックの時間を挿入してパケットに応答します。NTP クライアントは、このパケットを受信すると、それ自体のローカル時間でパケットをログに記録し、パケットが移動にかかった時間を検証します。このような複数のパケット交換は、正確な往復遅延時間とオフセット値を計算するために発生し、最終的に、NTP クライアントのローカル時間が、NTP サーバの基準クロックと同期されます。

確認

ここでは、設定が正常に機能しているかどうかを確認します。

設定の詳細を確認するには、次のコマンド出力の抜粋を参照してください。

acs51/admin#show clock
Wed Jun 13 11:02:00 IST 2012
acs51/admin#
acs51/admin(config)#ntp server 192.168.26.55
The NTP server was modified.
If this action resulted in a clock modification, you must restart ACS.
acs51/admin(config)#
acs51/admin#show ntp
Primary NTP   : 192.168.26.55

synchronised to NTP server (192.168.26.55) at stratum 2
   time correct to within 27 ms
   polling server every 64 s

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
127.127.1.0     LOCAL(0)        10 l   29   64   17    0.000    0.000   0.001
*192.168.26.55   .LOCL.           1 u   33   64   17    0.285   -9.900   2.733

Warning: Output results may conflict during periods of changing synchronization.

注:Stratumは、プライマリ基準クロックへのNTPサーバの近さを指定する手段です。stratum n サーバと同期されている各 NTP クライアントは、stratum n+1 レベルと呼ばれます。

ACS からの次のアプリケーション ログ メッセージを参照して、NTP 同期の詳細を確認してください。

acs51/admin# show logging application | in ntp
Jun 13 13:51:59 acs51 ntpd[20259]: ntpd 4.2.0a@1.1190-r Mon Jul 28 11:03:50 EDT 2008 (1)
Jun 13 13:51:59 acs51 ntpd[20259]: precision = 1.000 usec
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, 0.0.0.0#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface wildcard, ::#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface lo, 127.0.0.1#123
Jun 13 13:51:59 acs51 ntpd[20259]: Listening on interface eth0, 192.168.26.51#123
Jun 13 13:51:59 acs51 ntpd[20259]: kernel time sync status 0040
Jun 13 13:51:59 acs51 ntpd[20259]: frequency initialized 0.000 PPM from /var/lib/ntp/drift
Jun 13 13:51:59 acs51 ntpd: ntpd startup succeeded
Jun 13 13:55:15 acs51 ntpd[20259]: synchronized to 192.168.26.55, stratum 2


!--- Output suppressed–

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。OIT を使用して show コマンド出力の解析を表示します。

トラブルシュート

このセクションでは、設定のトラブルシューティングに役立つ情報を紹介します。

問題:ACSがVMWareマシンにインストールされていると、クロックのドリフトが大きすぎてNTPが失敗する

Cisco ACS が、クロック ソースとして NTP サーバを使用するように設定されていますが、頻繁に、内部の時間ソースに変更されます。これが発生すると、ユーザが Active Directory から認証できなくなります。これは、Kerberos がサポートしている時差は 300 秒だけであるためです。

解決方法

ESXi ホストで CPU 使用率が高くなると、通常どおりには VM で機能しません。これは、VM 内部のクロックに影響し、実際に、Windows のドメイン コントローラからの、5 分を超えるクロック ドリフトを引き起こします。これにより、Kerberos に障害が発生します。これは、NTP を使用しない Windows VM だけでなく、ホストのクロック同期にも影響を与えます。Cisco ACS に示される仮想クロックが不安定になり、NTP がドリフトに対応できなくなると、この仮想クロックは最終的に、それ自体を時刻ソースとして再び使用します。

注:NTPデーモンは、複数の交換でクロックを調整し、クライアントが正確な時刻を取得するまで続行します。ただし、NTP サーバと NTP クライアント間の遅延が大きくなりすぎると、NTP デーモンが終了するため、時間を手動で調整し、NTP デーモンを再起動する必要があります。

この問題は、Cisco ACS に VMWare ツールのサポートを統合すると解決されるように設定されています。これは、今後リリースされる Cisco ACS リリース 5.4 で提供されます。 詳細は、Cisco Bug ID CSCtg50048(登録ユーザ専用)を参照してください。一時的な回避策として、次の手順を試すことができます。

  • ACS stop コマンドをで ACS サービスを停止します。

  • すべての NTP 設定を削除し、write mem コマンドで設定を保存します。

  • Cisco ACS をリブートします。

  • show application status acs コマンドで、すべてのサービスが動作していることを確認します。

  • クロックを実際の時刻にできるだけ近い時刻、つまり、NTP のオフセット要件の 1 秒前に設定します。

  • 時間帯が正しいことを確認します。

  • NTP 設定を再度追加し、保存します。

  • show ntp コマンドを実行して、出力が同じであるかどうかを確認します。

注:これらの手順で問題が解決しない場合は、Cisco TACに連絡することをお勧めします。

ACS のインターフェイス IP アドレスの変更後に NTP 同期が失われる

ACS NIC の IP アドレスを変更すると、NTP が同期されなくなります。

解決方法

この動作は確認済みであり、Cisco Bug ID CSCtk76151(登録ユーザ専用)に記載されています。ACS の IP アドレスが変更されると、ACS アプリケーションが再起動されますが、NTP デーモンは再起動されません。これは、ACS バージョン 5.3.0.23 で修正されています。以前のバージョンでこの問題を解決するには、次の手順を実行してください。

  1. ntp server コマンドを実行して、NTP プロセスを停止します。

  2. ntp server コマンドを再実行して、NTP プロセスを再起動します。

関連情報

更新履歴

改定 発行日 コメント
1.0
13-Jun-2012
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています