Infra-Estrutura de Serviços de Rede

Instalação do Serviço de Tempo

Dezembro 28, 2006 Versão 1.0.0 Alexandre Soares Alexandre_soares@3com.com

Instalação do Serviço de Tempo

Índice do Documento
1 2 3 4 5 Objetivo do Documento............................................................................................3 Premissas Adotadas ................................................................................................3 Topologia de Teste ..................................................................................................4 Escolhendo os Servidores para Sincronia ................................................................5 Instalando o Serviço de Tempo................................................................................6 5.1 Servidores Linux ..............................................................................................6 5.2 Servidores Windows ........................................................................................7 5.2.1 Checando o Processo de Ativação ............................................................14 Configuração do Serviço de Tempo .......................................................................16 6.1 Servidores Linux ............................................................................................16 6.1.1 Arquivo de Configuração usado em Linux..................................................20 6.1.2 Ativação Automática do Deamon NTP .......................................................21 6.2 Servidores Windows ......................................................................................23 6.2.1 Arquivo de Configuração usado em Windows ............................................24 6.3 Estações de Trabalho Linux...........................................................................25 6.4 Estações de Trabalho Windows.....................................................................26 Hierarquia de Servidores........................................................................................29 Comentários Finais ................................................................................................30 Referências Bibliográficas......................................................................................31

6

7 8 9

Infra-Estrutura de Serviços de Rede

Página 2

Instalação do Serviço de Tempo

1 Objetivo do Documento
É objetivo deste documento apresentar aos administradores de rede um guia prático para configuração do serviço de tempo para utilização em suas infra-estruturas.

2 Premissas Adotadas
No desenvolvimento deste guia prático foram utilizados dois servidores de tempo, e dois clientes, para os servidores foram utilizados os sistemas operacionais Linux distribuição Fedora Versão 6.0 e o Microsoft Windows 2003 Server, para as estações cliente foram utilizados o sistema Linux distribuição Fedora Versão 6.0 e o Microsoft Windows XP.

Infra-Estrutura de Serviços de Rede

Página 3

0. O switch utilizado é um 3Com 5500-EI. ou seja.5 Linux NTP Server 192. todas as máquinas estão no mesmo domínio broadcast. Para validar o processo de configuração deste guia estão presentes dois clientes um baseado no sistema Linux e outro no sistema Microsoft Windows.168.0. 5500 ` 192.141 Windows NTP Server Infra-Estrutura de Serviços de Rede Página 4 . sem nenhuma configuração especial.0.168. conforme apresentado na figura abaixo.11 Cliente Windows 192.168.168. são utilizados dois servidores de tempo um baseado no sistema Linux e outro no sistema Microsoft Windows.0.Instalação do Serviço de Tempo 3 Topologia de Teste Para desenvolvimento das orientações presentes neste guia prático de configuração do serviço NTP.10 Cliente Linux ` 192.

um na Argentina. um nos Estados Unidos da América. em nosso exemplo utilizamos dois servidores no Brasil. Associado a esta estratégia deveremos acrescentar pelo menos um servidor de tempo presente em cada continente. Infra-Estrutura de Serviços de Rede Página 5 . um na França. um na Alemanha.Instalação do Serviço de Tempo 4 Escolhendo os Servidores para Sincronia A escolha dos servidores para sincronia do tempo a serem utilizados em um serviço presente na infra-estrutura segue uma orientação geral que descreve a necessidade de sincronismo com pelo menos um servidor localizado na região onde está presente o servidor que se deseja instalar. um no Canadá. um na Rússia e um no Japão.

gz cd ntp-4.2p4.2p4.tar. é necessário que o pacote de software seja obtido no endereço eletrônico http://www.2.Instalação do Serviço de Tempo 5 Instalando o Serviço de Tempo 5.html. onde deverá ser realizado o download da última versão.org/downloads.2p4 . neste guia utilizamos à versão 4.ntp. Uma vez obtido a referida versão é necessário que o pacote de software esteja disponível no diretório /usr/local/src e seguido os passos abaixo: 1) 2) 3) 4) 5) 6) 7) cd /usr/local/src tar –xvzf ntp-4.2./configure make make check make install (este comando deverá ser realizado como root do sistema) Infra-Estrutura de Serviços de Rede Página 6 .1 Servidores Linux Para instalar o serviço de tempo em ambientes Unix.2.

2.exe.2 Servidores Windows Para instalar o serviço de tempo em ambientes Windows. onde deverá ser realizado o download da última versão.htm#ntp_nt/.meinberg. Uma vez obtido localmente a cópia do software é iniciado a sua instalação.de/english/sw/ntp. neste guia utilizamos à versão ntp-4.Instalação do Serviço de Tempo 5. exibindo a janela inicial abaixo que deverá ser pressionado o botão “I Agree”. Infra-Estrutura de Serviços de Rede Página 7 .0a@mbg-fluxcapv2-o-win32-setup. é necessário que o pacote de software seja obtido no endereço eletrônico http://www.

Infra-Estrutura de Serviços de Rede Página 8 . caso o administrador não concorde com o path indicado este poderá escolher outro diretório conforme apresentado na figura abaixo.Instalação do Serviço de Tempo Seguidamente é apresentado o diretório onde deverá ser instalado o software servidor de tempo.

Instalação do Serviço de Tempo Uma vez selecionado o diretório onde deverá ser instalado a raiz do pacote é solicitado ao administrador à criação do arquivo padrão de configuração porém recomendamos que seja criado uma configuração inicial sem referencia de nenhum servidor específico conforme apresentado na figura abaixo. Infra-Estrutura de Serviços de Rede Página 9 .

Instalação do Serviço de Tempo Definido os itens apresentados nas etapas anteriores o software irá criar como boas práticas uma conta específica para este serviço sendo associadamente definidas alguns critérios específicos definidos nos itens checkbox apresentado na janela abaixo. Infra-Estrutura de Serviços de Rede Página 10 .

Instalação do Serviço de Tempo Como requerimento final o sistema solicitará uma senha associada à conta ntp criada nas etapas anteriores conforme apresentada na figura abaixo. Infra-Estrutura de Serviços de Rede Página 11 .

Infra-Estrutura de Serviços de Rede Página 12 .Instalação do Serviço de Tempo Uma vez preenchido todos os itens anteriores o sistema terminará seu processo de instalação informando globalmente todos os requerimentos preenchidos pelo administrador.

Instalação do Serviço de Tempo Terminado o processo de instalação do software NTP Server for Windows o mesmo criará a estrutura de diretório apresentado abaixo. Infra-Estrutura de Serviços de Rede Página 13 . esta estrutura irá ser utilizada no processo de configuração.

para tanto basta verificar se o serviço é ativado de maneira automática conforme apresentado na janela abaixo.1 Checando o Processo de Ativação Para confirmar se a instalação do pacote NTP no sistema Windows realizou-se dentro do esperado é recomenda-se que o administrador verifique se o serviço NTP está sendo executado.Instalação do Serviço de Tempo 5.2. Infra-Estrutura de Serviços de Rede Página 14 .

para obter o detalhamento de ativação que deverá ser semelhante aos dados apresentados na figura abaixo.Instalação do Serviço de Tempo Uma vez ativado o serviço. Infra-Estrutura de Serviços de Rede Página 15 . basta verificar por meio de um duplo click no item de anteriormente apresentado.

1.com. O arquivo ntp.anl.1 Servidores Linux Uma vez instalado o pacote de software NTP conforme apresentado no item 5. Para auxiliar a documentação poderá ser adicionado comentários no arquivo de configuração.fr 15 server ntp. Os trechos compreendidos entre as linhas 8 a 16 descrevem os servidores utilizados para sincronizar o tempo com o servidor a ser oferecido a infra-estrutura.cais. como boa prática é recomendado que o servidor seja indicado pelo nome não utilizando o seu número IP.cyber-fleet.pop-sc.chu. uma vez que as instituições responsáveis podem alterar sua designação IP a qualquer momento.mcs. caso não exista. Este processo é baseado no preenchimento do arquivo de configuração ntp.rnp.ar 11 server time.de 14 server ntp.nrc.nap. 1 2 # 3 ###################################################################### 4 # Definicao dos Servidores de Tempo 5 ###################################################################### 6 # 7 8 server ntp.conf é constituído de diversos comandos que detalharemos a seguir. os arquivos secundários utilizados por esta solução deverão estar localizados no diretório /etc/ntp.br 9 server ntp.conf localizado no diretório /etc. o mesmo deverá ser criado usando para tanto o comando mkdir /etc/ntp.psn.br 10 server tick.gov 13 server tick.net Infra-Estrutura de Serviços de Rede Página 16 .rnp.ca 12 server ntp-1.obspm. a etapa seguinte é a configuração do serviço.ru 16 server ntp.Instalação do Serviço de Tempo 6 Configuração do Serviço de Tempo 6.fh-augsburg. para tanto basta adicionar o caractere especial # em qualquer parte do arquivo.

porém serão aceitos solicitações de sincronia de tempo.rnp.255.br restrict tick.cais.255.255.255 nomodify notrap noquery mask 255.0.255.nap.ar restrict time.0.255.chu. Infra-Estrutura de Serviços de Rede Página 17 .br restrict ntp.net restrict 192.255.ca restrict ntp-1.255.255 nomodify notrap noquery mask 255.nrc.cyber-fleet. isto é definido pelo comando restrict que utiliza basicamente três modificadores descritos abaixo: • Nomodify.255 nomodify notrap noquery mask 255.anl.psn.255.255 nomodify notrap noquery mask 255. indica que nenhuma ação externa deverá ser executada. • • 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 # ###################################################################### # Definicao de Restricoes de Acesso ###################################################################### # restrict ntp.255 nomodify notrap noquery mask 255. Noquery.fh-augsburg.gov restrict tick.Instalação do Serviço de Tempo Uma vez defindo quais os servidores de sincronia utilizados devemos definir o seu escopo de acesso.255.1.0.mcs.com.0.255 nomodify notrap noquery mask 255.ru restrict ntp.255 nomodify notrap noquery mask 255.obspm.255 nomodify notrap noquery mask 255.168.0.255.255.255. indica que serão ignorados pacotes NTP que façam algum tipo de query ou solicitação de mudança de configuração.0.168. indica que serão ignorados pacotes NTP oriundos destes servidores.255. porém poderão ser utilizados apenas alguns seguimentos pois em associação a este comando poderemos utilizar o comando mask.1 mask 255. Notrap. associadamente deveremos liberar a interface local do sistema que é padronizada pelo número IP 127.0 nomodify notrap A linha número 33.de restrict ntp. indica ao serviço que serão permitidas solicitações de tempo oriundos da rede 192.fr restrict ntp.255.255 nomodify notrap noquery mask 255.255.0 restrict 127.255.0.rnp.255.255. que em nosso exemplo é todo o escopo da rede interna.255.pop-sc.255.

gera log para todas as categorias. 36 37 38 39 40 41 42 43 # ###################################################################### # Definicao da Localizacao de Log ###################################################################### # logconfig all logfile /etc/ntp/ntp.log (linha 43). conforme definido na linha 42. ou seja.drift Infra-Estrutura de Serviços de Rede Página 18 .log Deverá ser indicado à localização de um arquivo muito importante dentro da estratégia funcional do servidor de tempo. associadamente é necessário indicar a localização de geração deste arquivo que em nosso exemplo estará depositado em /etc/ntp/ntp. conforme indicado na linha 51. 45 46 47 48 49 50 51 # ###################################################################### # Definicao do Arquivo de Medicao do Relogio ###################################################################### # driftfile /etc/ntp/ntp.Instalação do Serviço de Tempo Como boa prática é recomendado que o serviço produza logs possibilitando assim ao administrador o acompanhamento funcional do serviço. este arquivo contém a média das medidas de tempo aprendidas e deverá ser localizado com o comando driftfile. para tanto basta indicar o escopo desta geração que em nosso exemplo é all.

porém caso o administrador local da rede decida não utilizar esta característica. os trechos compreendidos entre as linhas 53 a 62 deverão ser removidas. estas definem estatísticas de uso que poderão posteriormente serem utilizadas para apresentar a efetividade de utilização desta facilidade dentro da infra-estrutura. 53 54 55 56 57 58 59 60 61 62 # ###################################################################### # Definicao de Estatisticas ###################################################################### # statsdir /etc/ntp/stats/ statistics loopstats clockstats filegen loopstats file loopstats type day enable filegen clockstats file clockstats type day enable Infra-Estrutura de Serviços de Rede Página 19 .Instalação do Serviço de Tempo Abaixo seguem as definições que são opcionais para o funcionamento do serviço.

1 Arquivo de Configuração usado em Linux # ###################################################################### # Definicao dos Servidores de Tempo ###################################################################### # server ntp.mcs.0 nomodify notrap restrict 127.pop-sc.cais.com.1 # ###################################################################### # Definicao da Localizacao de Log ###################################################################### # logconfig all logfile /etc/ntp/ntp.obspm.rnp.anl.255.0 mask 255.255.pop-sc.net mask 255.255 nomodify notrap noquery restrict ntp-1.ca server ntp-1.Instalação do Serviço de Tempo 6.255.255.255 nomodify notrap noquery restrict ntp.255.nrc.com.255.nap.cyber-fleet.255.rnp.168.chu.anl.net # ###################################################################### # Definicao de Restricoes de Acesso ###################################################################### # restrict ntp.0.br server tick.255 nomodify notrap noquery restrict ntp.rnp.255.br mask 255.0.de mask 255.1.psn.fh-augsburg.nap.255 nomodify notrap noquery restrict ntp.nrc.255.ru mask 255.cyber-fleet.255 nomodify notrap noquery restrict time.255 nomodify notrap noquery restrict ntp.fr server ntp.ar mask 255.255.fr mask 255.255 nomodify notrap noquery restrict 192.255.255.cais.gov server tick.mcs.rnp.obspm.ru server ntp.log # ###################################################################### # Definicao do Arquivo de Medicao do Relogio ###################################################################### # driftfile /etc/ntp/ntp.255.255.br server ntp.chu.255.255 nomodify notrap noquery restrict tick.ar server time.psn.255 nomodify notrap noquery restrict tick.gov mask 255.255.255.255.255.255.br mask 255.drift # ###################################################################### # Definicao de Estatisticas ###################################################################### # statsdir /etc/ntp/stats/ statistics loopstats clockstats filegen loopstats file loopstats type day enable filegen clockstats file clockstats type day enable Infra-Estrutura de Serviços de Rede Página 20 .de server ntp.0.fh-augsburg.ca mask 255.

halt (Do NOT set initdefault to this) # 1 .org> # Modified for RHS Linux by Marc Ewing and Donnie Barnes # # Default runlevel. if you do not have networking) # 3 . para tanto é necessário o conhecido do nível default atualmente usado. The runlevels used by RHS are: # 0 .Instalação do Serviço de Tempo 6.nl.Single user mode # 2 .2 Ativação Automática do Deamon NTP Para que o deamon NTP seja automaticamente iniciado pelo servidor Linux é necessário que o mesmo seja definido nos scripts padrão de ativação do sistema. # # inittab This file describes how the INIT process should set up # the system in a certain run-level. esta informação é obtida no arquivo /etc/inittab na linha inittdefault que em nosso exemplo é 5. <miquels@drinkel.X11 # 6 .Multiuser. # # Author: Miquel van Smoorenburg.reboot (Do NOT set initdefault to this) # id:5:initdefault: Infra-Estrutura de Serviços de Rede Página 21 .Full multiuser mode # 4 .unused # 5 . without NFS (The same as 3.mugnet.1.

.d/init..rnp.d/functions .conf RETVAL=$? echo [ $RETVAL -eq 0 ] && touch /var/lock/subsys/ntpd .br ntp.conf ] || exit 0 RETVAL=0 case "$1" in start) /usr/local/bin/ntpdate -s -b -p 8 -u ntp.d ln –s ./init.Instalação do Serviço de Tempo Uma vez conhecido o nível default do sistema basta adicionar o script abaixo no diretório /etc/rc. status) status ntpd RETVAL=$? .br echo -n "Starting ntpd: " daemon /usr/local/bin/ntpd -c /etc/ntp.. restart|reload) $0 stop $0 start RETVAL=$? .d com o nome S99ntpd e seguidamente executar os seguintes comandos: 1) 2) 3) 4) 5) cd /etc/init.d/ntpd S99ntpd .cais.rnp. stop) # Stop daemons.pop-sc..d vi ntpd (Arquivo criado a partir de um cut and paste) chmod 755 ntpd cd /etc/rc.d/rc5.. *) echo "Usage: ntpd {start|stop|restart|status}" exit 1 esac exit $RETVAL Infra-Estrutura de Serviços de Rede Página 22 .d/rc5. /etc/rc. /etc/sysconfig/network [ ${NETWORKING} = "no" ] && exit 0 [ -x /usr/local/bin/ntpd -a -f /etc/ntp. echo -n "Shutting down ntpd: " killproc ntpd RETVAL=$? echo [ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/ntpd .

2 Servidores Windows Uma vez instalado o pacote de software NTP conforme apresentado no item 5. porém devido à natureza do sistema apenas a referência dos paths necessitam ser alteradas.Instalação do Serviço de Tempo 6. pois o pacote escolhido para o ambiente Windows foi adaptado para o ambiente Microsoft. a etapa seguinte é a configuração do serviço que segue as mesmas orientações apresentadas no item 6. logo são válidas os mesmos cuidados e explicações já apresentadas. o arquivo completo é apresentado na próxima seção que deverá ser localizado em c:\Program Files\NTP\etc. Infra-Estrutura de Serviços de Rede Página 23 .2.1.

net mask 255.255.mcs.255.nrc.255.255 nomodify notrap noquery restrict tick.255.cyber-fleet.255.255.ca mask 255.ar mask 255.255 nomodify notrap noquery restrict ntp-1.2.obspm.br mask 255.nap.1 Arquivo de Configuração usado em Windows # ###################################################################### # Definicao dos Servidores de Tempo ###################################################################### # server ntp.pop-sc.ru server ntp.fr server ntp.255.255 nomodify notrap noquery restrict ntp.de server ntp.255.255.de mask 255.obspm.255.fh-augsburg.0.pop-sc.gov mask 255.fh-augsburg.nrc.rnp.ar server time.255 nomodify notrap noquery restrict 192.com.cais.255 nomodify notrap noquery restrict ntp.br server ntp.mcs.255 nomodify notrap noquery restrict ntp.chu.com.anl.255.255 nomodify notrap noquery restrict time.168.255.255.255.255 nomodify notrap noquery restrict ntp.ru mask 255.rnp.0.1 # ###################################################################### # Definicao da Localizacao de Log ###################################################################### # logconfig all logfile "C:\Program Files\NTP\etc\ntp.rnp.255.fr mask 255.drift" # ###################################################################### # Definicao de Estatisticas ###################################################################### # statsdir "C:\Program Files\NTP\etc###BOT_TEXT###quot; statistics loopstats clockstats filegen loopstats file loopstats type day enable filegen clockstats file clockstats type day enable Infra-Estrutura de Serviços de Rede Página 24 .gov server tick.0.br mask 255.255.255 nomodify notrap noquery restrict tick.0 nomodify notrap restrict 127.br server tick.ca server ntp-1.psn.net # ###################################################################### # Definicao de Restricoes de Acesso ###################################################################### # restrict ntp.cyber-fleet.255.Instalação do Serviço de Tempo 6.0 mask 255.nap.psn.rnp.255.chu.cais.log" # ###################################################################### # Definicao do Arquivo de Medicao do Relogio ###################################################################### # driftfile "C:\Program Files\NTP\etc\ntp.255.anl.255.

1 20051102 Dec 29 12:32:33 resolution kernel: ACPI: PCI Interrupt 0000:00:02.5.5 ntp. [root@resolution ~]# tail /var/log/full.0. Dec 29 12:32:32 resolution pcscd: winscard. #!/bin/sh # # This script will be executed *after* all the other init scripts. bastando apenas adicionar uma linha de comando no arquivo rc.168.118 port 2961 ssh2 Dec 29 12:42:46 resolution sshd[2531]: pam_unix(sshd:session): session opened for user root by (uid=0) Dec 29 12:48:27 resolution ntpdate[2573]: step time server 192.log Dec 29 12:32:30 resolution smartd[2348]: smartd has fork()ed into background mode.br Este procedimento adicionalmente poderá ser auditado pelo administrador.local localizado em /etc/rc.0.rnp.d.168.3 Estações de Trabalho Linux Para configurar as estações de trabalho baseadas no sistema operacional linux. conforme apresentado abaixo.0. o administrador precisa instalar o pacote ntp na estação de trabalho conforme orientações já apresentadas.0 20060119 on minor 0 Dec 29 12:40:01 resolution crond[2526]: (root) CMD (/usr/lib/sa/sa1 1 1) Dec 29 12:42:46 resolution sshd[2531]: Accepted password for root from 192. low) -> IRQ 177 Dec 29 12:32:33 resolution kernel: [drm] Initialized i915 1.092210 sec [root@resolution ~]# Infra-Estrutura de Serviços de Rede Página 25 . mas não deverá ativar o daemon ntpd. # You can put your own initialization stuff in here if you don't # want to do the full Sys V style init stuff. pois a execução deste comando provoca uma mensagem sistêmica que pode ser facilmente localizada no arquivo de log da estação conforme apresentado abaixo. touch /var/lock/subsys/local /usr/local/bin/ntpdate -s -b -p 8 -u 192. New PID=2348.Instalação do Serviço de Tempo 6.5 offset 0.cais.168.c:219:SCardConnect() Reader E-Gate 0 0 Not Found Dec 29 12:32:32 resolution last message repeated 3 times Dec 29 12:32:33 resolution kernel: [drm] Initialized drm 1.0.0[A] -> GSI 16 (level.

será mostrado conforme figura abaixo uma janela onde encontramos além do relógio. dispensando a necessidade de programas complementares. Infra-Estrutura de Serviços de Rede Página 26 . Seguidamente ao procedimento anteriormente executado.4 Estações de Trabalho Windows O Windows atualmente já oferece as estações de trabalho o serviço de sincronia de tempo de maneira nativa. para tanto basta clicar com o primeiro botão do mouse no relógio presente na barra de tarefas . o indicativo “Horário na Internet” que deverá ser selecionado. que indica a hora atual do sistema local. conforme apresentado na figura abaixo.Instalação do Serviço de Tempo 6.

0. Infra-Estrutura de Serviços de Rede Página 27 .0.168.5.Instalação do Serviço de Tempo Uma vez selecionado deveremos indicar a estação o servidor de tempo a ser utilizado para sincronizar o seu relógio local em nosso exemplo deverá ser utilizado o número IP 192.168.141 ou 192.

Uma vez definido em todas as estações o servidor de tempo padrão. isto se deve ao fato do processo de sincronização ocorrer antes da liberação do sistema para utilização do usuário. como resultado será mostrando a hora corrigida conforme apresentado na figura abaixo. estes sistemas locais sempre iniciarão com a hora devidamente sincronizada com o serviço de tempo presente na infra-estrutura. Infra-Estrutura de Serviços de Rede Página 28 .Instalação do Serviço de Tempo O relógio será automaticamente sincronizado pela hora padrão indicado pelo servidor de tempo.

assim as filiais preferencialmente sincronizarão seus relógios com o servidor central presente na matriz da organização. conforme apresentado na figura abaixo.Instalação do Serviço de Tempo 7 Hierarquia de Servidores Caso em sua organização seja necessário utilizar mais de um servidor de tempo é recomendado o uso de uma estrutura hierárquica. Matriz Filial 3 Filial 1 Filial 2 Infra-Estrutura de Serviços de Rede Página 29 .

Infra-Estrutura de Serviços de Rede Página 30 . pois o servidor demora cerca de 10 minutos para “aprender” dos diferentes atrasos e com isto calcular a hora corretamente. aguardem o tempo de sincronia de seu servidor.Instalação do Serviço de Tempo 8 Comentários Finais Um erro muito usual no processo de instalação e configuração do serviço de tempo é a idéia que uma vez terminado o processo o serviço está imediatamente disponível para toda a rede. logo se recomenda aos administradores que após seguirem estes passos. Esta visão é equivocada.

Instalação do Serviço de Tempo 9 Referências Bibliográficas 1) Implementado o serviço NTP na sua rede local CAIS – Centro de Atendimento a Incidentes de Segurança http://www.htm#ntp_nt/ Infra-Estrutura de Serviços de Rede Página 31 .meinberg.pdf 2) NTP: The Network Time Protocol www.br/_arquivo/cais/manual_ntp_v1b.org 3) NTP Server for Windows http://www.rnp.de/english/sw/ntp.ntp.