ラベル ntpd の投稿を表示しています。 すべての投稿を表示
ラベル ntpd の投稿を表示しています。 すべての投稿を表示

2008/11/03

NTPDとIP multicast

以前このブログでNTPDについて書いた。この中で、『注意!IPマルチキャストに関して訂正・本編』という記事を書いたが、これに間違いが見つかったので訂正する。
Ntpdは、その認証機構がIPアドレスと結びついているため、マルチキャストパケットを送信する際に、送信元となる自分自身のIPアドレスをntpd自身が明示的に知る必要があります。そのため、IPマルチキャスト用のソケット(socket)を取得する際、そのIPマルチキャストアドレス(通常なら 224.0.1.1)で経路情報(routing table)を引き、得られたネットワークインターフェースのIPアドレスを送信元IPアドレスとするようです。
この赤字の部分が誤り。
まず、マルチキャストサーバモードの時の動作だが、manpageの記述も間違っている。

broadcast
For type b and m addresses (only), this command mobilizes a persistent broadcast mode association. Multiple commands can be used to specify multiple local broadcast interfaces (subnets) and/or multiple multicast groups. Note that local broadcast messages go only to the interface associated with the subnet specified, but multicast messages go to all interfaces.
IPマルチキャストを使う場合、つまり、/etc/ntp.confの中で、broadcastコマンドにIPマルチキャストアドレス(m address)を指定した場合、すべてのインターフェースに対してマルチキャストメッセージが送信される、となっている。実際には、この通りにはならない。
実際には、複数のインターフェースを持っている場合には、マルチキャストメッセージが送信されるのは、それらのインターフェースの中の一つのみ。しかも、それはip route showで表示されるルーティングテーブルとは無関係の様だ。
この現象は、NTP BugzillaBug ID 785として扱われているようだ。バージョン4.2.6辺りで修正されるのかもしれない。
0 件のコメント:
ラベル: , , , , , , ,

2007/06/19

注意!IPマルチキャストに関して訂正・本編

2008.11.3(月):注意!この記事の内容も正しくありませんでした。訂正記事を掲載しました。
注意!IPマルチキャストに関して訂正』で予告した、以下の記事に関する訂正です。
[1] 『IPマルチキャストを使う
[2] 『IPマルチキャストを使う・補足・VLANと
端的に言うと、ntpdのIPマルチキャストを使ってIPマルチキャスト通信の検証を行っていたので、ntpd固有の問題とIPマルチキャスト一般の問題を混同してしまったのが間違いの原因です。

記事[1]の中で当初、
IPマルチキャストを使用する場合、そのホストが持っているネットワークインターフェースの内、どのインターフェースの先にIPマルチキャストネットワークが存在しているかを指定しなければならない。
と書いていました。これは実際には誤りで、何も指定していなければどのインターフェースにもIPマルチキャストネットワークが存在するものと理解しているはずです。ただ、IPマルチキャストアドレスに対する経路を明示的に設定することができる、というだけのことです。

ただし、ntpdに関しては事情が違います。Ntpdは、その認証機構がIPアドレスと結びついているため、マルチキャストパケットを送信する際に、送信元となる自分自身のIPアドレスをntpd自身が明示的に知る必要があります。そのため、IPマルチキャスト用のソケット(socket)を取得する際、そのIPマルチキャストアドレス(通常なら224.0.1.1)で経路情報(routing table)を引き、得られたネットワークインターフェースのIPアドレスを送信元IPアドレスとするようです。
これは、マルチキャストクライアントの場合も同様のようです。つまり、listenするIPマルチキャストアドレス(通常なら224.0.1.1)で経路情報を引いて得られたネットワークインターフェースからのみ、NTPマルチキャストパケットを受け取ります。

このntpdの動作は、Linux機にネットワークインターフェースが一つしかない場合には問題になりません。なぜなら、既定経路(default route)が存在していれば、それは必ず唯一のネットワークインターフェースに結びついているからです。
0 件のコメント:
ラベル: , , , , , , ,

2007/06/07

注意!IPマルチキャストに関して訂正

以下の記事の内容が間違っていました。近日中に訂正記事を掲載します。
IPマルチキャストを使う
IPマルチキャストを使う・補足・VLANと
0 件のコメント:
ラベル: , , , , ,

2007/06/06

NTP認証: マルチキャスト・共通鍵認証篇

NTP認証シリーズでは、ユニキャストおよびブロードキャストで共通鍵認証を使う方法を解説してきた([1][2])。今回は、マルチキャスト(multicast)で共通鍵認証を使う方法について解説する。

NTPでマルチキャストを使う場合は、当然IPマルチキャストが使える様設定しておかねばならないが、この設定についてはここでは解説しない。『IPマルチキャストを使う』および『IPマルチキャストを使う・補足・VLANと』を参考にして欲しい。

共通鍵の設定については、サーバ側、クライアント側ともユニキャスト・ブロードキャストの場合と同様。他の設定についても、ブロードキャストの場合と大きく違わない。鍵の生成およびクライアントへの鍵配布については、ここでは省略する。『NTP認証: ユニキャスト・共通鍵認証篇』を参考にして欲しい。

サーバ側
サーバの設定は、ブロードキャストの場合とほとんど同じで、/etc/ntp.confの中のbroadcastコマンドに与えるアドレスを、マルチキャストアドレス224.0.1.1(NTP.MCAST.NET)に変更するだけだ。鍵ファイル/etc/ntp/keysは既に生成してあるものとして、/etc/ntp.confに以下のように記述する。
restrict 192.168.55.0 mask 255.255.255.0 nomodify notrap
keys /etc/ntp/keys
trustedkey 10
broadcast 224.0.1.1 key 10
ここでは鍵番号10を使用したが、これは適宜変更してもらって構わない。また、LANのIPアドレス192.168.55.0は、環境によって変更する必要がある。
変更したらservice ntpd restartを実行し、ntpdを再起動する。
Stratum的に上位のNTPサーバへの時刻同期は、通常と同様なので割愛する。

クライアント側
クライアントの設定もブロードキャストの場合と似ている。違うのは、、/etc/ntp.confの中でbroadcastclientの代わりにmulticastclientコマンドを使用する点。鍵の配布は既に終わっているものとして、/etc/ntp.confに以下の様に記述する。
restrict 192.168.55.0 mask 255.255.255.0 nomodify notrap
multicastclient 224.0.1.1
keys /etc/ntp/keys
trustedkey 10
鍵番号およびLANのIPアドレスは、環境に合うよう変更の必要がある。
変更したらservice ntpd restartを実行し、ntpdを再起動する。

確認
まず、サーバ側で時刻同期ができていることを確認する。再起動後、時刻が同期するまでにはしばらくかかる。確認はntpstatコマンドで行う。再起動直後は、以下の様な結果を得るはずだ。
$ ntpstat
unsynchronised
time server re-starting
polling server every 64 s
$
これがしばらく立つと以下のように変化する。
$ ntpstat
unsynchronised
polling server every 64 s
$
時刻同期ができたら、さらに以下の様に変化する。
$ ntpstat
synchronised to NTP server (210.173.160.87) at stratum 3
time correct to within 34 ms
polling server every 64 s
$
これでサーバの時刻同期ができたので、今度はクライアントで時刻同期を確認する。クライアント側でも、ntpstatコマンドを使えば同様に確認できる。認証が行えているかどうかは、ntpqコマンドで確認することができる。
$ ntpq
ntpq> peer
remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
LOCAL(0)        .LOCL.          10 l   59   64  377    0.000    0.000   0.002
*ntpserver.local 210.173.160.87   3 m   46   64  376    0.353   -2.665   0.752
ntpq> assoc

ind assID status  conf reach auth condition  last_event cnt
===========================================================
1 29516  9014   yes   yes  none    reject   reachable  1
2 29517  7614    no   yes   ok   sys.peer   reachable  1
ntpq>
コマンドpeer(s)の出力で、tの欄がmになっていることに注目して欲しい。これは、マルチキャストで時刻同期している、ということを表している。再起動直後は、ここがu、つまりユニキャストの表示になっている場合があるが、しばらくするとmへ変化する。
次のassoc(iations)コマンドの出力は、各行がpeer(s)の出力の各行と順に対応するので、ind2の行がマルチキャストサーバの状態を表している。この行のconfnoになっているのは、設定ファイル/etc/ntp.confによって設定された時刻源ではないことを表す。同じくauthokになっているのは、認証できていることを表している。

第一回:『NTP認証: ユニキャスト・共通鍵認証篇
第二回:『NTP認証: ブロードキャスト・共通鍵認証篇
第三回:『NTP認証: ntp-keygenコマンドとX.509証明書
第四回:『NTP認証: ユニキャスト・公開鍵認証篇
第五回:『NTP認証: マルチキャスト・共通鍵認証篇
0 件のコメント:
ラベル: , , , , ,

2007/05/26

IPマルチキャストを使う・補足・VLANと

2007.6.7(木):注意!この記事の内容は正しくない可能性があります。現在詳細を調査中です。近日中に訂正記事を掲載します。

前回、IPマルチキャストの設定について解説した。今回はその補足。

前回の設定を『VLANとXenを組合わせて使う・その2・VLAN設定』で解説したようなVLANインターフェースに対して同様に/etc/sysconfig/static-routes内に設定を書いてもマルチキャストアドレスに対する経路(ルーティング)が設定されない。詳しくは調べていないのだが、これは、/etc/sysconfig/static-routesが、VLANインターフェースが起動されるより前に処理されることが原因のようだ。
ネットワークの起動スクリプト/etc/init.d/networkの中には、/etc/sysconfig/static-routesについて
# Add non interface-specific static-routes.
とある。

従って、VLANインターフェースに対してマルチキャスト経路を設定する場合は、VLANインターフェースが起動された後に経路を設定すればよい。これを実現するためには、インターフェース毎の経路を設定する/etc/sysconfig/network-scripts/route-デバイス名もしくは/etc/sysconfig/network-scripts/デバイス名.routeに経路を記述する。前者は、新書式(new format)と旧書式(old format)の二種類の書式を使えるが、後者は新書式のみに対応している。システム設定コマンドsystem-config-networkで扱うのは後者。
旧書式の場合は、
multicast 224.0.0.0/4 dev eth0.1000
の様に記述する。行頭のmulticastは省略可能だ。パラメータは、ip route addコマンドで指定するものと同じ。
新書式では、
ADDRESS0=224.0.0.0
NETMASK0=240.0.0.0
の様に記述する。
通常の静的経路の場合は、ADDRESSN=IPアドレスおよびNETMASKN=ネットマスクに加えて、next hop routerを指定するGATEWAYN=IPアドレスを指定するが、マルチキャスト経路の場合にはこれを指定しない。詳しくは/etc/sysconfig/network-scripts/ifup-routesを参照のこと。
0 件のコメント:
ラベル: , , , , , ,

2007/05/25

IPマルチキャストを使う

2007.6.7(木):注意!この記事の内容は正しくない可能性があります。現在詳細を調査中です。近日中に訂正記事を掲載します。

恥ずかしながら、あまりIPマルチキャストというものを使ったことがなかった。ちょっと勉強してみた。

IPマルチキャストを使用する場合、そのホストが持っているネットワークインターフェースの内、どのインターフェースの先にIPマルチキャストネットワークが存在しているかを指定しなければならないできる。例えば、eth0の先にIPマルチキャストネットワークが存在していれば、
# ip route add 224.0.0.0/4 dev eth0
の様に経路(ルーティング)を設定する。
起動時から有効にしたい場合は、/etc/sysconfig/static-routesに以下の行を追加する。
any net 224.0.0.0/4 dev eth0
なお、ifconfigコマンドの出力に、
eth0      Link encap:Ethernet  HWaddr XX:XX:XX:XX:XX:XX
inet addr:XXX.XXX.XXX.XXX  Bcast:XXX.XXX.XXX.XXX  Mask:XXX.XXX.XXX.XXX
UP BROADCAST RUNNING MULTICAST  MTU:1496  Metric:1
RX packets:5729 errors:0 dropped:0 overruns:0 frame:0
TX packets:5987 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:603345 (589.2 KiB)  TX bytes:1081601 (1.0 MiB)
の様に、マルチキャストフラグが設定されていることが判るが、これだけではアプリケーションからマルチキャスト通信を行うことができない場合があるので、注意が必要。
0 件のコメント:
ラベル: , , , ,

2007/05/24

XenのDomUでNTPを使う

XenのDomUでntpdやntpdateを実行すると、時刻同期できないことがある。これは、XenがDom0からのみ時刻を更新できるというXenの仕様による。Dom0で時刻を合わせていれば、DomUも正確な時刻を得ることができるので、通常は問題にならない。しかし、Dom0とDomU、もしくはDomUとDomUで違う時刻源に同期しなければならない場合や、ntpdの動作をXenを使って検証する場合などでは問題になる。
この動作は、カーネルパラメータxen.independent_wallclockにより制御できる。通常、このパラメータの値は0だが、これを1にすればDomUで独自にntpdを正常に実行できる。実行途中ならば、
# sysctl xen.independent_wallclock=1
もしくは、
# echo 1 >/proc/sys/xen/independent_wallclock
のいずれかを実行する。起動時から動作を変更するなら、/etc/sysctl.confに以下の行を追加する。
# For ntpd on Xen DomU.
xen.independent_wallclock = 1
参考:
0 件のコメント:
ラベル: , , , , , , , , ,

2007/03/05

NTP認証: ユニキャスト・公開鍵認証篇

NTP認証シリーズの第四回。今回は、ユニキャスト・公開鍵認証。

まずは、ドキュメントを読んでみる。FC5パッケージntpがインストールされていれば、/usr/share/doc/ntp-*にドキュメントが存在するので、それをfirefoxなりlynxなり好きなブラウザで。この中のkeygen.htmlに以下のような記述がある。
On each trusted host as root, change to the keys directory. To insure a fresh fileset, remove all ntpkey files. Then run ntp-keygen -T to generate keys and a trusted certificate.
つまりこうだ。信頼の基点(root)として信用されるホストにおいてはそれぞれ、次の三つを実行する。
  1. keysディレクトリに移動する。
  2. ファイル群を新しくするためにntpkeyファイルを削除する。
  3. 公開鍵・秘密鍵ペアと信頼された証明書を生成するため、ntp-keygen -Tコマンドを実行する
そうでないホストについては、どうだろう。
On all other hosts do the same, but leave off the -T flag to generate keys and nontrusted certificates.
つまり、それ以外のホストについては、-Tオプションをつけずに上の手順を実行せよ、ということだ。

ではやってみよう。これまで同様、認証を行わないユニキャストによる時刻同期ができている」ことを前提とする。

サーバ側
次のように実行する。
# cd /etc/ntp
# \rm ntpkey_*
# ntp-keygen -T
Using OpenSSL version 90801f
Random seed file /root/.rnd 1024 bytes
Generating RSA keys (512 bits)...
RSA 0 2 8       1 11 24                         3 1 2
Generating new host file and link
ntpkey_host_ntpserver.localnet->ntpkey_RSAkey_ntpserver.localnet.3382096077
Using host key as sign key
Generating certificate RSA-MD5
X509v3 Basic Constraints: critical,CA:TRUE
X509v3 Key Usage: digitalSignature,keyCertSign
X509v3 Extended Key Usage: trustRoot
Generating new cert file and link
ntpkey_cert_ntpserver.localnet->ntpkey_RSA-MD5cert_ntpserver.localnet.3382096077
#
これで公開鍵・秘密鍵ペアと証明書ができているはずだ。
# ls -lF
total 16
-rw------- 1 root root 266 May 11  2006 keys.orig
lrwxrwxrwx 1 root root  48 Mar  6 00:07 ntpkey_cert_ntpserver.localnet -> ntpkey_RSA-MD5cert_ntpserver.localnet.3382096077
lrwxrwxrwx 1 root root  43 Mar  6 00:07 ntpkey_host_ntpserver.localnet -> ntpkey_RSAkey_ntpserver.localnet.3382096077
-rw-r--r-- 1 root root 629 Mar  6 00:07 ntpkey_RSAkey_ntpserver.localnet.3382096077
-rw-r--r-- 1 root root 620 Mar  6 00:07 ntpkey_RSA-MD5cert_ntpserver.localnet.3382096077
-rw-r--r-- 1 root root 186 Oct 17 20:46 ntpservers
-rw-r--r-- 1 root root   0 May 11  2006 step-tickers
#

続いて、/etc/ntp.confに以下のような行を追加する。
crypto pw ntpserver.localnet randfile /etc/ntp/.rnd
ここで、pwに続くのは、かぎファイルのパスワードで、ntp-keygenコマンドに特別なオプションをつけなければ、gethostname()で得られるホスト名が使用される。これについては、第三回を参照のこと。次のrandfileに続くのは、ランダムシードファイルの場所。ランダムシードファイルの作成についても、前回を参照して欲しい。
最後に、ntpdを再起動する。
# service ntpd restart
Shutting down ntpd:                                        [  OK  ]
Starting ntpd:                                             [  OK  ]
#


クライアント側
まずは、サーバと同様、キーの作成を行う。ただし、-Tオプションを指定しない。
# cd /etc/ntp
# \rm ntpkey_*
# ntp-keygen
Using OpenSSL version 90801f
Random seed file /root/.rnd 1024 bytes
Generating RSA keys (512 bits)...
RSA 0 3 11      1 11 24                         3 1 2
Generating new host file and link
ntpkey_host_ntpclient.localnet->ntpkey_RSAkey_ntpclient.localnet.3382098481
Using host key as sign key
Generating certificate RSA-MD5
X509v3 Basic Constraints: critical,CA:TRUE
X509v3 Key Usage: digitalSignature,keyCertSign
Generating new cert file and link
ntpkey_cert_ntpclient.localnet->ntpkey_RSA-MD5cert_ntpclient.localnet.3382098481
#

次に、/etc/ntp.confを次のように編集する。
server 192.168.55.133 autokey
crypto pw ntpclient.localnet randfile /etc/ntp/.rnd
ここで、192.168.55.133は、NTPサーバのアドレス。後はサーバと同じだ。
ここまでできたら、ntpdを再起動する。
# service ntpd restart
ntpd を停止中:                                             [  OK  ]
ntpd: 時間サーバと同期中:                                  [  OK  ]
ntpd を起動中:                                             [  OK  ]
#


確認
クライアントがサーバと同期したかどうかを確認する。当然、サーバがある時刻ソースに同期した後、さらにしばらくした後でないと確認できない。
# ntpq
ntpq> peers
remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*ntpserver.local 208.100.3.151    3 u   23   64  377    0.475  -250717  19.050
LOCAL(0)        LOCAL(0)        10 l   28   64  377    0.000    0.000   0.001
ntpq> associations

ind assID status  conf reach auth condition  last_event cnt
===========================================================
1 52124  f624   yes   yes   ok   sys.peer   reachable  2
2 52125  9024   yes   yes  none    reject   reachable  2
ntpq>


考察
さて、以上でサーバ=クライアント間の時刻同期は成った。だが不可解な点が残る。サーバ=クライアント間で一体何を認証しているのか、ということだ。
X.509公開鍵認証基盤(PKI: Public Key Infrastructure)では、検証者が信頼の基点となる認証局(CA: Certificate Authority)を選び、これらのCAの証明書を予め安全な方法で入手する。検証者は、ある証明書を受け取ったとき、以下の手順でその証明書を検証する。まず、その証明書を発行したCA、そのCAの証明書を発行したCA、…と証明書のパスを辿る。これらの証明書パス中のいずれかの証明書が、信頼の基点となるCAの証明書の集合の内のいずれかと一致すれば、その証明書を信用するに足る、と判断する(というのは乱暴な説明だが、ここはこのくらいで許しといてくれ)
今回の場合、NTPサーバ側もNTPクライアント側も、信頼の基点となる認証局を設定しなかった。とすると本来、どんな証明書を受け取っても、信頼しない、と判断しなければならないはずだ。しかし、実際には「auth: ok」となっている。

サーバ側の鍵および証明書を発行するとき、ntp-keygenコマンドに-Tオプションを付加した。これで何が変わるかというと、証明書中に証明書エクステンション(X509v3 extensions)にcriticalでない拡張鍵用途フィールド(X509v3 Extended Key Usage)が追加され、これに「Trust Root」が指定されていることだけのようだ。実際、-Tオプションをつけずにサーバ側で鍵・証明書を生成すると、クライアント側は時刻同期しないようだ。

以上のことから考えると、現状のntpdでは、サーバ側で-Tを付けているかつけていないかを認証しているに過ぎない。まあ、途中で鍵や証明書が変更されたらそれに気付くのかもしれない(ちゃんとAutokeyのドキュメントを読めば解るのかもしれないが、まだ読めてません…)が、せいぜいその程度だ。実装の問題じゃないかと思うのだが…

ドキュメントkeygen.htmlを読むと次のように書いてある。
As mentioned on the Autonomous Authentication page, the default TC identity scheme is vulnerable to a middleman attack.
もともと脆弱性があるんだから、使うなということだろうか?

第一回:『NTP認証: ユニキャスト・共通鍵認証篇
第二回:『NTP認証: ブロードキャスト・共通鍵認証篇
第三回:『NTP認証: ntp-keygenコマンドとX.509証明書
第四回:『NTP認証: ユニキャスト・公開鍵認証篇
第五回:『NTP認証: マルチキャスト・共通鍵認証篇
0 件のコメント:
ラベル: , , , , , , , ,

2007/02/15

NTP認証: ntp-keygenコマンドとX.509証明書

NTP認証シリーズの第三回。今回は、公開鍵認証に入る前の準備篇。

NTP認証: ユニキャスト・共通鍵認証篇』で既に紹介済みだが、ntpパッケージには、ntp-keygenというコマンドが付属している。このコマンドで、NTPの認証に使用する共通鍵や公開鍵・証明書を生成することができる。基本的な使い方は簡単で、引数なしで起動すれば、公開鍵・証明書を生成してくれる。オプションとして-Mオプションをつければ、共通鍵も生成する。共通鍵ファイルについては、『NTP認証: ユニキャスト・共通鍵認証篇』で述べた通りだ。

では、このコマンドで生成された公開鍵・証明書はどうなっているのか、というのが今回のテーマだ。おさらいとして、公開鍵・証明書を生成するところからやってみよう。
# dd if=/dev/urandom of=/root/.rnd bs=1024 count=1
1+0 records in
1+0 records out
1024 bytes (1.0 kB) copied, 0.240445 seconds, 4.3 kB/s
# ntp-keygen
Using OpenSSL version 90801f
Random seed file /root/.rnd 1024 bytes
Generating RSA keys (512 bits)...
RSA 0 40 46     1 11 24                         3 1 2
Generating new host file and link
ntpkey_host_ホスト名->ntpkey_RSAkey_ホスト名.3380508833
Using host key as sign key
Generating certificate RSA-MD5
X509v3 Basic Constraints: critical,CA:TRUE
X509v3 Key Usage: digitalSignature,keyCertSign
Generating new cert file and link
ntpkey_cert_ホスト名->ntpkey_RSA-MD5cert_ホスト名.3380508833
#
最初のddコマンドは、ntp-keygenコマンド実行前に/root/.rndがない場合、エラーになるのを避けるためだ。

メッセージを見ると、RSA 512bitの鍵を生成してる。今時512bitでもなかろうに、とも思わなくもないが、NTPプロトコル上の制限なのか…。

実際に生成されたファイルを確かめてみよう。
# cd /etc/ntp
# ls -F
keys
ntpkey_RSA-MD5cert_ホスト名.3380508833
ntpkey_RSAkey_ホスト名.3380508833
ntpkey_cert_ホスト名@
ntpkey_host_ホスト名@
ntpservers
step-tickers
# cat ntpkey_RSAkey_ホスト名.3380508833
# ntpkey_RSAkey_ホスト名.3380508833
# Thu Feb 15 15:13:53 2007
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-CBC,389C92663ECF5DB9

wrSy9Q++1KwQ13Day9uY8TlvpYweLEjHmLtd0YiJFFvdNahQMRru4Zc+YL+o4VZk
<<略>>
RiARMG0NVXvkBwpVIIykS5GhGVEjqbT9+ckvZ8C0q3E=
-----END RSA PRIVATE KEY-----
#
むむ?パスワードを指定した覚えはないが…ソースコードを当たってみると、-p パスワードオプションが指定されなかった場合は、gethostname()で得られるホスト名が使われるようだ。実際にそうなっているか、openssl rsaコマンドを使って確認してみよう。
# openssl rsa -text -noout < ホスト名.3380508833
Enter pass phrase: ← ホスト名を入力
Private-Key: (512 bit)
modulus:
00:e2:7c:35:92:2a:de:15:18:1d:98:97:9c:5f:74:
f6:4f:9b:e9:c7:0a:4a:db:2e:15:fc:6c:00:f6:8c:
<<略>>
06:7b
#
確かにRSA 512bitになっている。

証明書を確認してみよう。
# cat ntpkey_RSA-MD5cert_ホスト名.3380508833
# ntpkey_RSA-MD5cert_ホスト名.3380508833
# Thu Feb 15 15:13:53 2007
-----BEGIN CERTIFICATE-----
MIIBSzCB9qADAgECAgTJfnihMA0GCSqGSIb3DQEBBAUAMB0xGzAZBgNVBAMTEmlu
YXp1bWEuZGVzdHJveWVyczAeFw0wNzAyMTUwNjEzNTNaFw0wODAyMTUwNjEzNTNa
MB0xGzAZBgNVBAMTEmluYXp1bWEuZGVzdHJveWVyczBaMA0GCSqGSIb3DQEBAQUA
A0kAMEYCQQDifDWSKt4VGB2Yl5xfdPZPm+nHCkrbLhX8bAD2jP//XaEh9g11C++l
/xPXAxA4Q+88ehQq840V2wgq8o6pgznbAgEDoyAwHjAPBgNVHRMBAf8EBTADAQH/
MAsGA1UdDwQEAwIChDANBgkqhkiG9w0BAQQFAANBANaYyZ0ZUCd+fYt9DbuNMmVb
T/pcR2rD2s7QuI2tJVa3ebmal/dz3nAPlfEadm35pQSAmjIpB0ebbOef1+EcqSA=
-----END CERTIFICATE-----
# openssl x509 -text -noout -in ntpkey_RSA-MD5cert_ホスト名.3380508833
Certificate:
Data:
Version: 3 (0x2)
Serial Number: -914458463 (-0x3681875f)
Signature Algorithm: md5WithRSAEncryption
Issuer: CN=ホスト名
Validity
Not Before: Feb 15 06:13:53 2007 GMT
Not After : Feb 15 06:13:53 2008 GMT
Subject: CN=ホスト名
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (512 bit)
Modulus (512 bit):
00:e2:7c:35:92:2a:de:15:18:1d:98:97:9c:5f:74:
f6:4f:9b:e9:c7:0a:4a:db:2e:15:fc:6c:00:f6:8c:
ff:ff:5d:a1:21:f6:0d:75:0b:ef:a5:ff:13:d7:03:
10:38:43:ef:3c:7a:14:2a:f3:8d:15:db:08:2a:f2:
8e:a9:83:39:db
Exponent: 3 (0x3)
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Key Usage:
Digital Signature, Certificate Sign
Signature Algorithm: md5WithRSAEncryption
d6:98:c9:9d:19:50:27:7e:7d:8b:7d:0d:bb:8d:32:65:5b:4f:
fa:5c:47:6a:c3:da:ce:d0:b8:8d:ad:25:56:b7:79:b9:9a:97:
f7:73:de:70:0f:95:f1:1a:76:6d:f9:a5:04:80:9a:32:29:07:
47:9b:6c:e7:9f:d7:e1:1c:a9:20
#
極々シンプルな自己署名証明書になっている。有効期限は一年間だ。シリアル番号がランダマイズされているのは偉い…のか、管理するのが面倒だったからなのか(笑)。仕様的には問題ないはずだが、負のシリアル番号は初めて見た。

自己署名なので、当然IssuerとSubjectが同一になっている。マニュアルによれば、これはそれぞれ、-s-iオプションで変更できることになっている。

-i name
Set the suject name to name. This is used as the subject field in certificates and in the file name for host and sign keys.
-s name
Set the issuer name to name. This is used for the issuer field in certificates and in the file name for identity files.
しかし、オプションの名前から考えて、これは逆なんじゃなかろうか?実際に確かめてみよう。
# rm *.3380508833
rm: remove 通常ファイル `ntpkey_RSA-MD5cert_ホスト名.3380508833'? y
rm: remove 通常ファイル `ntpkey_RSAkey_ホスト名.3380508833'? y
# ntp-keygen -i "subject.localnet" -s "issuer.localnet"
Using OpenSSL version 90801f
Random seed file /root/.rnd 1024 bytes
Generating RSA keys (512 bits)...
RSA 0 12 19     1 11 24                         3 1 2
Generating new host file and link
ntpkey_host_issuer.localnet->ntpkey_RSAkey_issuer.localnet.3380513148
Using host key as sign key
Generating certificate RSA-MD5
X509v3 Basic Constraints: critical,CA:TRUE
X509v3 Key Usage: digitalSignature,keyCertSign
Generating new cert file and link
ntpkey_cert_issuer.localnet->ntpkey_RSA-MD5cert_issuer.localnet.3380513148
# ls
keys                                           ntpkey_host_ホスト名
ntpkey_RSA-MD5cert_issuer.localnet.3380513148  ntpkey_host_issuer.localnet
ntpkey_RSAkey_issuer.localnet.3380513148       ntpservers
ntpkey_cert_ホスト名                 step-tickers
ntpkey_cert_issuer.localnet
# openssl x509 -text -noout -in ntpkey_RSA-MD5cert_issuer.localnet.3380513148
Certificate:
Data:
Version: 3 (0x2)
Serial Number: -914454148 (-0x36817684)
Signature Algorithm: md5WithRSAEncryption
Issuer: CN=subject.localnet
Validity
Not Before: Feb 15 07:25:48 2007 GMT
Not After : Feb 15 07:25:48 2008 GMT
Subject: CN=issuer.localnet
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (512 bit)
Modulus (512 bit):
00:c5:c8:2d:6a:95:05:1e:7f:76:b3:7e:7a:f7:5b:
85:ff:00:76:b1:fe:32:62:d4:fe:41:9a:da:05:2f:
04:0f:f9:0b:97:b7:b7:0b:90:72:ba:9e:42:de:0a:
d5:d8:3d:83:c2:e3:7d:b0:84:a4:56:ac:bf:f5:f0:
c3:9e:6a:2e:11
Exponent: 3 (0x3)
X509v3 extensions:
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Key Usage:
Digital Signature, Certificate Sign
Signature Algorithm: md5WithRSAEncryption
16:a5:2b:bb:19:8e:79:e2:08:6d:f8:76:ed:99:db:f8:ed:22:
46:af:90:67:62:c5:cb:09:c7:03:e8:ea:1f:21:c0:90:3d:08:
db:60:69:7c:e6:8e:47:5b:6a:9f:e9:e0:96:04:f7:a8:e7:d5:
08:eb:c3:53:67:6f:29:7f:40:9d
#
思った通り逆になっている。ファイル名はどうなるのかと思ったら、すべてに対して-sで指定したもの(issuer.localnet)が使われている。まあ、Issuerと言えば認証局(Certificate Authority, CA)のことで、CAは複数subjectに対して複数の証明書を発行するということを考えれば、ファイル名にIssuerの名前でなく、Subjectの名前が使われるのが自然だろう。そうでなければ、証明書のファイル名が衝突してしまうからだ。

しかし、自己署名証明書のIssuerとSubjectが違うってのはどうだろう(笑)?

第一回:『NTP認証: ユニキャスト・共通鍵認証篇
第二回:『NTP認証: ブロードキャスト・共通鍵認証篇
第三回:『NTP認証: ntp-keygenコマンドとX.509証明書
第四回:『NTP認証: ユニキャスト・公開鍵認証篇
第五回:『NTP認証: マルチキャスト・共通鍵認証篇
0 件のコメント:
ラベル: , , , , , , , ,

2007/02/14

NTP認証: ブロードキャスト・共通鍵認証篇

NTP認証シリーズの第二回。前回は、共通鍵認証・ユニキャストだったが、今回はユニキャストの代わりにブロードキャスト(broadcast)を使う。認証を行わない場合のブロードキャストの設定については、『NTP broadcast設定』で取り上げた。これに認証を加えようというわけだ。

NTP認証は、ブロードキャスト設定を行ったときにこそ必要になる。なぜなら、broadcastclient設定を行ったクライアントは、認証を有効にしていない場合、ブロードキャストで流れてきたNTPパケットを無条件で信用し、そのパケットを送信したサーバに時刻同期しようとするからだ。悪意のある攻撃者がネットワークに接続した場合、簡単に時刻を混乱させることができる。

サーバ側
共通鍵を生成する部分に関しては、前回と同じ。詳しくは、そちらを参照して欲しい。

設定ファイル/etc/ntp.confについては、前回の設定に加えて、ブロードキャストの設定が必要。ただし、『NTP broadcast設定』で述べた方法と違い、broadcast サーバ名に続けて、key 鍵識別子オプションを指定する。
keys /etc/ntp/keys
trustedkey 10
broadcast 192.168.55.255 key 10
ユニキャストの場合と同様、trustedkeyコマンドで指定した鍵識別子の内一つをbroadcastコマンドのkeyオプションで指定する。

設定を変更したら、ntpdを再起動する。

クライアント側
まず、『NTP broadcast設定』でも指摘したが、ファイアウォール(iptables)が動いている場合は、ntp:udpを許可する必要がある。サーバからのNTPブロードキャストを受け取れるようにするためだ。FC5だと、system-config-networkを使って変更するか、/etc/sysconfig/iptablesを直接編集し、サービスiptablesを再起動する。

次に、共通鍵ファイルを準備する。これは前回とまったく同じ。/etc/ntp/keysに必要な鍵を追加する。

さらに、/etc/ntp.confの中で、broadcastclientコマンドを指定する。
restrict 192.168.55.0 mask 255.255.255.0 nomodify notrap
broadcastclient
これは、『NTP broadcast設定』での設定とまったく同じ。

最後に、この/etc/ntp.confの中で、使用する鍵識別子を指定する。
keys /etc/ntp/keys
trustedkey 10
これは、前回とまったく同じ。

変更したら、ntpdを再起動する。

確認
これも前回と同じで、クライアント側でntpqを起動し、peerコマンドで確認すればよいが、注意を要する点がある。ユニキャストの場合と違い、ntpdを再起動してすぐは、peerコマンドの出力に、NTPサーバのエントリが出力されない。
# service ntpd restart
ntpd を停止中:                                             [  OK  ]
ntpd: 時間サーバと同期中:                                  [  OK  ]
ntpd を起動中:                                             [  OK  ]
# ntpq
ntpq> peer
remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
LOCAL(0)        LOCAL(0)        10 l    3   64    1    0.000    0.000   0.001
ntpq>
NTPクライアントは、正しい鍵で認証できるサーバからのNTPブロードキャストを受け取って、しばらく時間を置いてから、ユニキャストでそのサーバと時刻同期を行う。再起動直後は、タイミングにもよるが、まだサーバからのNTPブロードキャストを受け取っていないので、peerコマンドの出力には対応するエントリが出てこない。しばらく時間をおくと、対応するエントリが現れる。
ntpq> peer
remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*LOCAL(0)        LOCAL(0)        10 l   23   64   17    0.000    0.000   0.001
ntpserver.local 213.186.41.134   3 u    3   64   17   10.357    0.814   7.753
ntpq>
さらに時間をおくと、そのサーバと時刻同期できるはずだ。

第一回:『NTP認証: ユニキャスト・共通鍵認証篇
第二回:『NTP認証: ブロードキャスト・共通鍵認証篇
第三回:『NTP認証: ntp-keygenコマンドとX.509証明書
第四回:『NTP認証: ユニキャスト・公開鍵認証篇
第五回:『NTP認証: マルチキャスト・共通鍵認証篇
0 件のコメント:
ラベル: , , ,

NTP認証: ユニキャスト・共通鍵認証篇

NTP認証シリーズの第一回。ユニキャスト(unicast)で設定したサーバ=クライアント間で、共通鍵(symmetric key: 共有鍵・対称鍵)を使って認証を行う場合について。「認証を行わないユニキャストによる時刻同期ができている」という前提に、共通鍵認証だけを加える。

サーバ側
まず、共通鍵認証を行うためには当然、共通鍵を作る必要がある。これは、手作業で行うこともできるが、自動的に生成させるのが簡単だ。FC5ではntpdのバージョンは、4.2なので、ntp-keygenというコマンドが入っているはずだ。このコマンドは基本的に、公開鍵認証を行うための秘密鍵と証明書を生成するためのものだが、-Mオプションをつけて実行すると、16個の共通鍵が自動的に生成される。鍵や証明書は、/etc/ntpに生成されるので、rootで作業する必要がある。
# ntp-keygen -M
# cd /etc/ntp
# ls
keys
ntpkey_cert_ntpserver.localnet
ntpkey_host_ntpserver.localnet
ntpkey_MD5key_ntpserver.localnet.3533248690
ntpkey_MD5_ntpserver.localnet
ntpkey_RSAkey_ntpserver.localnet.3533248690
ntpkey_RSA-MD5cert_ntpserver.localnet.3533248690
ntpservers
step-tickers
このntpkey_*が新たに生成されたもの。ファイルスタンプを時刻を表す整数として、ntpkey_*_ホスト名.ファイルスタンプの形式になっているものが実ファイル。そうでないものは、それらに対するシンボリックリンクだ。これらのファイルは、所有者rootで、パーミッションを600にしておいた方が無難だ。
# chown root.root ntpkey_*
# chmod 600 ntpkey_*
この内、共通鍵認証に使うの共通鍵ファイルは、ntpkey_MD5key_*。既存の共通鍵ファイルを退避し、代わりにこのファイルに対するシンボリックリンクを作成する。
# mv keys keys.org
# ln -s ntpkey_MD5_ntpserver.localnet keys
以上で共通鍵の生成は終了だ。なお、この共通鍵ファイルの中身は、次のようになっているはずだ。
# ntpkey_MD5key_ntpserver.localnet.3533248690
# Mon Feb 12 11:04:55 2007
1 MD5  Vbevc\~F{3Yg(p6 # MD5 key
2 MD5  dPw#mEg+9=yc5Y] # MD5 key
<<略>>
10 MD5  ;XlkqE~Q2Uc#*&2 # MD5 key
<<略>>
15 MD5  lF943;ZrNNVHqYw # MD5 key
16 MD5  XKw$i#m%.TQ]lD" # MD5 key
#」から行末までは、お馴染みの通り無視されるつまり、コメント。各行は、空白区切りのカラムから成っている。第一カラムは、鍵識別子(key identifier)。1から65,535までの整数を指定する。第二カラムは、鍵形式(key format)。現在のバージョンでは、MD5だけが許されている。第三カラムは、鍵そのもの。16文字以下の印刷可能文字列を指定する。この文字列には、空白および「#」を含めてはいけない。

次に、/etc/ntp.confの変更。FC5では、共通鍵ファイルを指定するkeysコマンドは既に記述されているはず。それに加えて以下の太字の部分を追加する。
keys /etc/ntp/keys
trustedkey 10
ここで、trustedkeyコマンドに続けた引数10は、keysコマンドで指定した共通鍵ファイル中の鍵識別子。ここで指定した鍵識別子で指定した鍵のみが時刻同期時の認証で有効。鍵を複数指定する場合は、鍵識別子を空白で区切って並べる。設定変更を終えたら、ntpdを再起動する。
# service ntpd restart


なお、コマンドntp-keygenを実行した際に、「RAND_load_file /root/.rnd not found or empty」といったようなメッセージが出力され、鍵を生成できない場合がある。これは、メッセージの通り、/root/.rndを以下のように生成すればよい。
# dd if=/dev/urandom of=/root/.rnd bs=1024 count=1
1+0 records in
1+0 records out
1024 bytes (1.0 kB) copied, 0.240445 seconds, 4.3 kB/s
#


クライアント側
まず、共通鍵ファイル/etc/ntp/keysを準備する。鍵は、サーバと同じのものを準備する必要がある。上のサーバの例では、鍵識別子10の鍵だけが有効になっているので、クライアント側の共通鍵ファイルには、少なくともこの鍵をコピーしておく必要がある。逆に言えば、他の鍵はコピーしておく必要はない。むしろ、セキュリティの観点から言えば、コピーしない方がいいだろう。共通鍵ファイルの内容は、以下の通り。
10 MD5  ;XlkqE~Q2Uc#*&2 # MD5 key
このファイルは、所有者をrootにして、パーミッションを600にしておく。
# cd /etc/ntp
# chown root.root keys
# chmod 600 keys


次に、/etc/ntp.confを変更する。クライアント・サーバで鍵識別子10を使用するとしよう。認証なしでサーバと時刻同期が取れているなら、serverコマンドのオプションとして、key 10を付ける。また、trustedkeyコマンドにやはり鍵識別子10を指定する。
server 192.168.55.133 key 10
keys /etc/ntp/keys
trustedkey 10

設定変更を終えたら、ntpdを再起動する。
# service ntpd restart


確認
クライアント側でntpqを起動し、peerコマンドを使って確認すればよい。ただし、時刻同期は即時に行われるとは限らない。以下の実行例は、ntpdを再起動してしばらくたった後のものであることに注意して欲しい。

正常に動作している場合は、次のようになるはずだ。
# ntpq
ntpq> peer
remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*ntpserver.local 209.132.176.4    2 u  531 1024  377   10.367    3.617   4.396
LOCAL(0)        LOCAL(0)        10 l    5   64  377    0.000    0.000   0.001
ntpq>
もし、クライアント側でtrustkeyコマンドを追加していないか、鍵識別子を間違っているなどの問題があった場合は、次のような表示になる。
ntpq> peer
remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
ntpserver.local .NKEY.          16 u    -   64    0    0.000    0.000 4000.00
LOCAL(0)        LOCAL(0)        10 l    2   64    1    0.000    0.000   0.001
ntpq>
上の実行例で、refid.NKEY.になっていることに注目して欲しい。この場合、syslogには、次のようなメッセージが記録されているはずだ。
Feb 14 17:28:43 ntpclient ntpd[16217]: transmit: key 10 not found for 192.168.55.133


一方、サーバとクライアントの鍵識別子の指定が違っている場合、例えば、サーバ側では鍵識別子11を、クライアント側では鍵識別子10を指定しているような場合は、
ntpq> peer
remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
ntpserver.local .INIT.          16 u    -   64    0    0.000    0.000 4000.00
*LOCAL(0)        LOCAL(0)        10 l   59   64   37    0.000    0.000   0.001
ntpq>
のように、refid.INIT.、stratumが最大値の16になる。

第一回:『NTP認証: ユニキャスト・共通鍵認証篇
第二回:『NTP認証: ブロードキャスト・共通鍵認証篇
第三回:『NTP認証: ntp-keygenコマンドとX.509証明書
第四回:『NTP認証: ユニキャスト・公開鍵認証篇
第五回:『NTP認証: マルチキャスト・共通鍵認証篇
0 件のコメント:
ラベル: , , , , ,

NTP認証: 予告篇

このブログでもNTPについて何度か取り上げてきた([1][2]) 。この中で認証については何も書かなかった。認証方式と通信方式の組合せによって設定が異なるので、何回かに分けて書いてみたい。
まず、NTPの認証には、共通鍵(symmetric key: 共有鍵・対称鍵)を使う方法と、公開鍵(public key)を使う方法がある。ntp.confの中ではそれぞれ、keyコマンドおよびautokeyコマンドにより指定される。
一方、NTPの通信方式にもいくつかの方法がある。ユニキャスト(unicast)でクライアント=サーバ間もしくはピア間で通信する方法が一般的だ。これに加えて、サーバからのブロードキャストでクライアントにサーバの存在を知らせる方法や、マルチキャスト(multicast)を使う方法などがある。

NTPにおける認証は、クライアントがサーバの時刻に同期する、という点だけを捉えれば、クライアントが正しいサーバを確認することを意味する。つまり、悪意のあるサーバから時刻を受け取らないようにするための仕組みであると言える。
サーバが正しく認証を行ったクライアントであることを確認することもできる。しかし、普通に設定すれば、サーバは認証が有効化されていないクライアントに対してもNTP応答を行う。

ウェブページを検索してみると、そもそもNTPの認証に関するページが少ないが、ブロードキャストのときにどのように認証を行えばよいか、また、公開鍵認証でどのように設定すればよいか書いてあるページはさらに少ない。このブログでは、その辺りについても書く予定だ。

なお、認証を行わないユニキャストによる時刻同期ができていることを前提条件とする。また、『NTP broadcast設定』では、「NTPブロードキャストで認証を行わない場合は、ntpdへ渡すオプションに-Aを付ける」と書いたが、この-Aオプションが指定してあるとNTP認証は正常に動作しない。サーバ側でもクライアント側でもこのオプションを指定していないことを確認する。

第一回:『NTP認証: ユニキャスト・共通鍵認証篇
第二回:『NTP認証: ブロードキャスト・共通鍵認証篇
第三回:『NTP認証: ntp-keygenコマンドとX.509証明書
第四回:『NTP認証: ユニキャスト・公開鍵認証篇
第五回:『NTP認証: マルチキャスト・共通鍵認証篇
0 件のコメント:
ラベル: , , , , ,

2007/02/07

NTP broadcast設定

に「NTPDを使って、ブロードキャストで時刻同期させる方法が判らない」と書いた。この解決篇。

次のようなネットワークを考える。
NTPサーバ
192.168.55.133。外部の上位stratumサーバと同期し、ローカルネットワーク192.168.55/24にntpをブロードキャストする。
NTPクライアント
192.168.55.6。NTPDブロードキャストクライアントとして構成される。
まずはNTPサーバ側だが、上位stratumサーバとの時刻同期の部分は省くとして、ブロードキャストサーバとしての設定は、/etc/ntp.confに以下の様な行を追加すれば良い。
broadcast 192.168.55.255
また、ファイアウォール(iptables)が動作している場合は、ntp:udpを許可しておく必要がある。これは、FC5だと、system-config-networkを使えばよい。設定は、/etc/sysconfig/iptablesに以下のように反映される
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 123 -j ACCEPT


続いてNTPクライアント側だが、まず、/etc/ntp.confに以下のような行を追加する。
restrict 192.168.55.0 mask 255.255.255.0 nomodify notrap
broadcastclient
次に、NTPサーバと同様に、ファイアウォールが動作している場合は、ntp:udpを許可する。私は、これを忘れていたため、時刻同期ができなかったようだ。
なお、NTPブロードキャストで認証を行わない場合は、ntpdへ渡すオプションに-Aを付ける必要がある。起動時に行うには、/etc/sysconfig/ntpdOPTIONSの部分を編集する。

時刻同期ができているかどうかは、NTPクライアント側で次のように確認する。
# ntpstat
synchronised to NTP server (192.168.55.133) at stratum 4
time correct to within 167 ms
polling server every 128 s
#
ちなみに、NTPサーバ=NTPクライアント間の通信は、次のように行われているようだ
# tcpdump -n -p udp port ntp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
11:32:40.425917 IP 192.168.55.133.ntp > 192.168.55.255.ntp: NTPv4, Broadcast, length 48
11:32:41.385443 IP 192.168.55.6.ntp > 192.168.55.133.ntp: NTPv4, Client, length 48
11:32:41.386969 IP 192.168.55.133.ntp > 192.168.55.6.ntp: NTPv4, Server, length 48
ブロードキャストパケットが、NTPサーバからNTPクライアントに届いた後、NTPクライアントからNTPサーバへNTPパケットが送られ、NTPサーバからNTPクライアントに応答がある。そんなもんかな?
0 件のコメント:
ラベル: , , , , ,

2007/02/02

NTPDの謎

NTPDは、その実現する機能の割には設定が難しいソフトウェアの一つだ。とは言うものの、普通に使う分には、ネットで検索すればまあ動くものが出来上がる。しかし、未だに解決できない問題が二つある。
  • ブロードキャスト/マルチキャストによる同期
  • サブインターフェースを持たせた場合の動作
がそれだ。

前者は、いろいろやってみたが良くわからない。サーバがブロードキャストアドレスでNTPパケットを流すところまではできたのだが、クライアントの設定が不明だ。

後者の問題はこうだ。NTPサーバとなるマシンntp1がインターフェースeth0を持っている。このインターフェースにサブインターフェースeth0:1およびeth0:99を作成し、それぞれ192.168.1.1/24および192.168.1.99/24を割当てる。このとき、NTPクライアントとなる他の機器server1で、NTPサーバを192.168.1.99を指定すると、同期が取れない場合がある。特に、server1とntp1の間にファイアウォールがある場合などに問題になる。
この原因は判っていて、NTPサーバが192.168.1.99宛に届いた問合パケットに対して、応答パケットが192.168.1.1から出て行くからだ。つまり、こういうことだ。サーバserver1のアドレスを192.168.254.1としよう。さらに、ソースアドレスsとデスティネーションアドレスdを持つパケットを[s=>d]と表すとする。このケースでは、問合パケットは、[192.168.254.1=>192.168.1.99]になり、応答パケットには、ソースとデスティネーションを逆転させた[192.168.1.99=>192.168.254.1]が期待される。だが、これが何故か[192.168.1.1=>192.168.254.1]になってしまう。
NTPクライアント側は、自分が送信先に指定したサーバからの応答があると期待しているので、それとは違うソースアドレスからのパケットは無視する。もしserver1とntp1の間にステートフルなファイアウォールが存在すれば、応答パケットが問合せパケットに対応するものだとは理解できないので、おそらく応答パケットは破棄されてしまう。

どちらもまだ解決方法を知らない。

解決篇「NTP broadcast設定」
0 件のコメント:
ラベル: , , , , ,
登録: 投稿 (Atom)