HOME  |  Mappa sito


inizio argomento

Come configurare il vostro NTP

La configurazione del demone ntpd viene definita all'interno di un apposito file, che di norma è /etc/ntp.conf il quale viene letto all'avvio del programma. Ciascuna linea del file può contenere una sola direttiva ed eventuali commenti (che devono essere preceduti dal carattere "#"). Le linee vuote del file vengono ignorate.

All'interno di questo file si dovranno inserire le direttive per definire le sorgenti di sincronizzazione esterne (di solito due o tre) di livello superiore (stratum inferiore) ed eventualmente altri server interni dello stesso livello:

# /etc/ntp.conf
# File di configurazione di host1.miaditta.it

server ntp1.inrim.it      # server primario
server ntp2.inrim.it      # server primario
server indirizzo.altro.server

peer host2.miaditta.it      # eventuale server interno di pari livello




Si può definire un file per memorizzare la correzione di frequenza applicata all'orologio locale per metterlo in passo con l'UTC in modo da rendere più veloce il processo di sincronizzazione a seguito di un riavvio del daemon ntpd.
Se questo file viene definito, il daemon ntpd utilizzerà come correzione iniziale di frequenza il valore trovato all'interno del file, altrimenti utilizzerà il valore 0.

driftfile /etc/ntp.drift




Il daemon ntpd può fornire molte informazioni relative ai vari eventi che si verificano nel corso del suo funzionamento. Per abilitare questa funzione è necessario definire la cartella nella quale archiviare i file:

statsdir /var/log/ntpstats/

si devono definire le categorie degli eventi da registrare:

statistics loopstats peerstats clockstats

si devono infine inserite una o più direttive per specificare il none ed il tipo di file e la categoria degli eventi da registrare utilizzando la seguente sintassi:

filegen categoria [file nome_del_file] [type tipo_di_file] [enable | disable]

esempio:
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable




L'NTP ha la possibilità di operare in modo autenticato, l'I.N.RI.M. ha attivato il servizio di autenticazione a chiavi simmetriche MD5 secondo le specifiche NTPv3 (RFC 1305) e quello a chiave pubblica (RFC 5906), chiamato anche Autokey, con lo schema IFF.


AUTENTICAZIONE A CHIAVE SIMMETRICA

Per utilizzare questa funzione si deve specificare il percorso completo ed il nome del file nel quale sono memorizzate le chiavi:

keys /etc/ntp.keys

Le chiavi devono essere inserite nel file ntp.keys, una per ogni linea, utilizzando la seguente sintassi:

ID    Tipo_di_chiave    Chiave

ID = numero identificativo della chiave, compreso tra 1 e 65534;
Tipo_di_chiave = tipo di chiave: M (MD5);
Chiave = chiave composta da 1 a 16 caratteri ASCII (da 0x21 a 0x7f, escluso lo spazio e '#').

esempio:
1 M qwerty123ASD    # Chiave per server x1.y.z
2 M XCXC36dd3628    # Chiave per server x2.y.z

Per abilitare l'autenticazione si deve inserire nel file ntp.conf la direttiva che specifica le chiavi da utilizzare:

trustedkey 1 2

Aggiungere alle direttive che specificano i riferimenti (server e peer) il numero (ID) della chiave da utilizzare nel procedimento di autenticazione:

server x1.y.z key 1
server x2.y.z key 2


AUTENTICAZIONE A CHIAVE PUBBLICA

Per usufruire dell'autenticazione a chiave pubblica si deve utilizzare il software NTP - versione 4.1.74 o superiore; l'identificazione del server con lo schema IFF è invece disponibile solo per la versione 4.2.6.

Si dovranno prelevare ed installare le librerie di crittografia contenute nel software OpenSSL. Queste librerie possono essere prelevate liberamente dal sito www.openssl.org.

Successivamente si potrà procedere con la compilazione e l'installazione del software NTP.

Tra i vari programmi che compongono il software NTP, si trova anche ntp-keygen che è necessario per generare le chiavi ed il certificato indispensabili per attivare questa modalità di funzionamento del daemon ntpd.
Le chiavi ed il certificato devono essere memorizzate in una cartella che sia visibile esclusivamente all' utente root; di norma questa cartella è /etc/ntp.
Per generare le chiavi si deve dare il seguente comando dalla cartella che contiene le chiavi (/etc/ntp):

cd /etc/ntp
ntp-keygen

In questo modo viene generato un file contenente la chiave privata (ntpkey_RSAkey_nomehost.timestamp) ed un certificato con lo schema RSA-MD5 (ntpkey_RSA-MD5cert_nomehost.timestamp).

Si dovrà memorizzare il file dei parametri IFF (ntpkey_IFFkey_nomeserver ) che è stato prelevato dal sito dell'I.N.RI.M. nella cartella che contiene le chiavi (/etc/ntp). Il file inizia con la riga che contiene # ntpkey_iffpar_ntp... e finisce con -----END DSA PRIVATE KEY-----


Infine, si devono aggiungere le seguenti direttive nel file di configurazione /etc/ntp.conf:

crypto # Abilita il protocollo Autokey
keysdir /etc/ntp/ # Definisce il percorso delle chiavi e dei file crittografici
statistics sysstats cryptostats # Abilita la registrazione degli eventi
filegen sysstats file sysstats type day enable # Definisce le modalità di registrazione degli eventi
filegen cryptostats file cryptostats type day enable # Definisce le modalità di registrazione degli eventi
server ntp1.inrim.it autokey # Associa il protocollo Autokey al server ntp1.inrim.it
server ntp2.inrim.it autokey # Associa il protocollo Autokey al server ntp2.inrim.it

inrim@inrim.it - inrim@pec.it
© INRIM - Strada delle Cacce, 91 - 10135 Torino, ITALY
Codice Univoco Ufficio per fatturazione elettronica UFPQ1O - P.IVA/C.F.: 09261710017