RHEL9 chrony サーバーで NTS (Network Time Security) のの有効化方法
環境
RHEL9.2
概要
独自の Network Time Protocol (NTP) サーバーを実行している場合は、サーバーの Network Time Security (NTS) サポートを有効にして、クライアントの同期を容易にし、安全に行うことができます。 NTP サーバーがその他のサーバーのクライアントである (Stratum 1 サーバーではない) 場合は、同期に NTS または対称鍵を使用する必要があります。
前提条件
PEM 形式のサーバー秘密鍵
PEM 形式で必要な中間証明書を持つサーバー証明書
操作方法
1. chrony.conf で秘密鍵と証明書ファイルを指定します。
For example: ntsserverkey /etc/pki/tls/private/<ntp-server.example.net>.key ntsservercert /etc/pki/tls/certs/<ntp-server.example.net>.crt
2. グループの所有権を設定し、鍵と証明書ファイルの両方が chrony システムユーザーにより読み
取り可能であることを確認します。
For example: chown :chrony /etc/pki/tls/*/<ntp-server.example.net>.*
3. ntsdumpdir /var/lib/chrony ディレクティブが chrony.conf に存在することを確認します。
4. chronyd を再起動します。
systemctl restart chronyd
5.動作確認
次のコマンドを使用して、クライアントマシンからクイックテストを実行します。
$ chronyd -Q -t 3 'server ntp-server.example.net iburst nts maxsamples 1'
説明
System clock wrong メッセージは、NTP サーバーが NTS-KE 接続を受け入れ、NTS で保護さ
れている NTP メッセージで応答していることを示しています。
サーバーで監視されている NTS-KE 接続と認証された NTP パケットを確認します。
# chronyc serverstats
説明
NTS-KE connections accepted および Authenticated NTP packets の値がゼロ以外の値の場
合は、少なくとも 1 台のクライアントが NTS-KE ポートに接続し、認証された NTP リクエスト
を送信できたことを意味します。