時刻の同期
はじめに
Active Directory(AD)では、正確な時刻同期が必要です。 たとえば、Kerberosではリプレイアタックを防ぐために正しいタイムスタンプが必 要で、ADではレプリケーションの競合を解決するためにこの時間を使用します。 ADのデフォルトの最大許容時間偏差は5分です。 ドメインメン バまたはドメインコントローラ(DC)の時間差がより大きいまたはより短い場合、アクセスは拒否されます。 その結果、ユーザーは共有にアク セスしたり、ディレクトリに問い合わせたりすることができません。
Sambaはhttp://ntp.orgからntpdをサポートしています。 デーモンは外部ソースと時刻を同期させ、クライアントがデーモンを実
行しているサーバーから時刻を取得できるようにします。
ntpdは、Windows 2000クライアントとの認証された時刻同期をサポートしていないことに注意してください。
DCにおいて時刻同期を設定する
要件
- ntpd> = 4.2.6(http://www.ntp.org)、signed ntp サポートを有効にしてコンパイル済み(
--enable-ntp-signd) - ドメインコントローラ(DC)のソケットのアクセス許可を確認します。
ntpdデーモンは、ntp_signedディレクトリで読み取り権限を持っている必要があります。 権限を表示するには、次のように入力します。
# ls -ld /usr/local/samba/var/lib/ntp_signd/ drwxr-x--- 2 root ntp 4096 1. May 09:30 /usr/local/samba/var/lib/ntp_signd/
権限を設定するには、次のコマンドを実行します。
# ls -ld /usr/local/samba/var/lib/ntp_signd/ drwxr-x--- 2 root ntp 4096 1. May 09:30 /usr/local/samba/var/lib/ntp_signd/
DC上にntpd.confファイルを設定する
通常、ntpdデーモンは/etc/ntpd.confファイルから設定を読み取ります。
以下は、3つの外部NTPサーバーと時刻を同期させ、クライアントが署名付きNTP要求を使用して時刻を照会できる最小のntpd.conf
ファイルです。
# Local clock. Note that is not the "localhost" address! server 127.127.1.0 fudge 127.127.1.0 stratum 10 # Where to retrieve the time from server 0.pool.ntp.org iburst prefer server 1.pool.ntp.org iburst prefer server 2.pool.ntp.org iburst prefer driftfile /var/lib/ntp/ntp.drift logfile /var/log/ntp ntpsigndsocket /usr/local/samba/var/lib/ntp_signd/ # Access control # Default restriction: Allow clients only to query the time restrict default kod nomodify notrap nopeer mssntp # No restrictions for "localhost" restrict 127.0.0.1 # Enable the time sources to only provide time to this host restrict 0.pool.ntp.org mask 255.255.255.255 nomodify notrap nopeer noquery restrict 1.pool.ntp.org mask 255.255.255.255 nomodify notrap nopeer noquery restrict 2.pool.ntp.org mask 255.255.255.255 nomodify notrap nopeer noquery
ntpdのアクセス制御の詳細については、http://support.ntp.org/bin/view/Support/AccessRestrictionsを参照してください。
サーバでSELinuxを有効にしている場合は、「svradmin/samba4/transdoc/time_synchronisation_-_selinux_labeling_and_policy」を参照 してください。
Unixドメインメンバでの時刻同期の設定
要件
ntpdhttp://www.ntp.org/
Unix ドメインメンバでntpd.confファイルを構成する
通常、ntpdデーモンは、オペレーティングシステムに応じて、/etc/ntpd.confまたは/etc/ntp.confファイルから構成を読み取ります。
次は、Samba Active Directory(AD)ドメインコントローラ(DC)DC1およびDC2と時間を同期させ、他のホストに時間サービスを提供しない最小限のconfファイルです。
# Local clock. Note that is not the "localhost" address! server 127.127.1.0 fudge 127.127.1.0 stratum 10 # Where to retrieve the time from server DC1.samdom.example.com iburst prefer server DC2.samdom.example.com iburst driftfile /var/lib/ntp/ntp.drift logfile /var/log/ntp # Access control # Default restriction: Disallow everything restrict default ignore # No restrictions for "localhost" restrict 127.0.0.1 # Enable the time sources only to only provide time to this host restrict DC1.samdom.example.com mask 255.255.255.255 nomodify notrap nopeer noquery restrict DC2.samdom.example.com mask 255.255.255.255 nomodify notrap nopeer noquery
ntpdのアクセス制御の詳細については、http://support.ntp.org/bin/view/Support/AccessRestrictionsを参照してください。