Werbung
Über diese Konfigurationsseite können zusätzliche NTP Parameter eingestellt
werden. Im oberen Teil können bis zu 3 unterschiedliche externe NTP Server als
Redundanz zu der internen Referenzuhr angegeben werden. Dabei kann wahlweise,
ein symmetrischer Schlüssel eingegeben werden und AUTOKEY aktiviert werden.
Über den Punkt „Stratum of local clock" wird der Stratum Wert der lokalen
Referenzuhr angegeben.
Mit dem Punkt „Trusted key" kann eine Liste aller symmetrischen Schlüssel durch
Komma getrennt eingegeben werden, die vom NTP akzeptiert werden.
Soll zusätzlich die NTP Zeit als Broadcast im lokalen Netzwerk verteilt werden,
kann hier eine gültige Broadcast Adresse eingegeben werden. Beachten Sie, dass ab
der Version NTP 4 Broadcast immer mit Authentication benutzt werden muss.
Im nächsten Punkt können die beiden Optionen AUTOKEY und PPS für den
Zeitserver aktiviert werden, wobei PPS sich auf die zusätzliche Referenzuhr über den
Sekundenimpuls bezieht.
Nach jedem Neustart und nach allen Änderungen der Konfiguration wird immer eine
neue Datei /etc/ntp.conf vom LANTIME automatisch generiert, d.h., man kann keine
Änderungen direkt an dieser Datei vornehmen. Wenn weitere Einstellungen am NTP
(Authentication, Restriction ...) benötigt werden, die nicht mit den oben
beschriebenen Parametern erreicht werden können, muss eine zusätzliche
Konfigurationsdatei bearbeitet werden. Wenn die NTP Parameter permanent geändert
werden sollen, muss eine Datei /mnt/flash/ntpconf.add erstellt werden , welche dann
automatisch beim Booten oder Ändern der NTP Parameter an die Datei /etc/ntp.conf
angehängt wird. Über den Punkt „Edit additional NTP parameter" kann diese
zusätzliche Datei bearbeitet und verwaltet werden.
NTP Authentication
NTP bietet in der Version 2 und 3 ein Authentication Verfahren über symmetrische
Schlüssel. Wird ein Paket in diesem Authentication Mode verschickt, so wird an
jedes ein 32-bit Key ID und eine cryptografische 64/128-bit Checksumme des
Paketes, erstellt entweder mit Data Encryption Standard (DES) oder Message Digest
(MD5) Algorithmen, angehängt. Beide Algorithmen bieten ausreichenden Schutz vor
Manipulation der Inhalte. Zu beachten ist, dass die Verbreitung des DES in den USA
sowie in Kanada Einschränkungen unterliegt, während MD5 zur Zeit davon nicht
betroffen ist. Mit jedem der beiden Algorithmen berechnet der empfangende Partner
die Checksumme und vergleicht sie mit der im Paket enthaltenen. Beide Partner
müssen hierfür den gleichen Encryption Key mit der dazugehörigen gleichen Key ID
haben. Dieses Feature bedarf einiger kleiner Modifikationen an der Standard Paket
Verarbeitung. Diese Modifikationen werden mit der enable authenticate in
Konfigurationdatei aktiviert. Im Authentication Mode werden Partner als
unglaubwürdig und für eine Synchronisation nicht geeignet gekennzeichnet, wenn sie
entweder unauthentisierte Pakete, authentisierte Pakete die nicht entschlüsselt werden
können oder authentisierte Pakete die einen falschen Key benutzen senden. Zu
77
Werbung
