Infra-Estrutura de Servios de Rede

Instalao do Servio de Tempo

Dezembro 28, 2006 Verso 1.0.0 Alexandre Soares Alexandre_soares@3com.com

Instalao do Servio de Tempo

ndice do Documento
1 2 3 4 5 Objetivo do Documento............................................................................................3 Premissas Adotadas ................................................................................................3 Topologia de Teste ..................................................................................................4 Escolhendo os Servidores para Sincronia ................................................................5 Instalando o Servio de Tempo................................................................................6 5.1 Servidores Linux ..............................................................................................6 5.2 Servidores Windows ........................................................................................7 5.2.1 Checando o Processo de Ativao ............................................................14 Configurao do Servio de Tempo .......................................................................16 6.1 Servidores Linux ............................................................................................16 6.1.1 Arquivo de Configurao usado em Linux..................................................20 6.1.2 Ativao Automtica do Deamon NTP .......................................................21 6.2 Servidores Windows ......................................................................................23 6.2.1 Arquivo de Configurao usado em Windows ............................................24 6.3 Estaes de Trabalho Linux...........................................................................25 6.4 Estaes de Trabalho Windows.....................................................................26 Hierarquia de Servidores........................................................................................29 Comentrios Finais ................................................................................................30 Referncias Bibliogrficas......................................................................................31

7 8 9

Infra-Estrutura de Servios de Rede

Pgina 2

Instalao do Servio de Tempo

1 Objetivo do Documento
objetivo deste documento apresentar aos administradores de rede um guia prtico para configurao do servio de tempo para utilizao em suas infra-estruturas.

2 Premissas Adotadas
No desenvolvimento deste guia prtico foram utilizados dois servidores de tempo, e dois clientes, para os servidores foram utilizados os sistemas operacionais Linux distribuio Fedora Verso 6.0 e o Microsoft Windows 2003 Server, para as estaes cliente foram utilizados o sistema Linux distribuio Fedora Verso 6.0 e o Microsoft Windows XP.

Infra-Estrutura de Servios de Rede

Pgina 3

Instalao do Servio de Tempo

3 Topologia de Teste
Para desenvolvimento das orientaes presentes neste guia prtico de configurao do servio NTP, so utilizados dois servidores de tempo um baseado no sistema Linux e outro no sistema Microsoft Windows. Para validar o processo de configurao deste guia esto presentes dois clientes um baseado no sistema Linux e outro no sistema Microsoft Windows, conforme apresentado na figura abaixo. O switch utilizado um 3Com 5500-EI, sem nenhuma configurao especial, ou seja, todas as mquinas esto no mesmo domnio broadcast.

5500

` 192.168.0.10 Cliente Linux

` 192.168.0.11 Cliente Windows 192.168.0.5 Linux NTP Server

192.168.0.141 Windows NTP Server

Infra-Estrutura de Servios de Rede

Pgina 4

Instalao do Servio de Tempo

4 Escolhendo os Servidores para Sincronia

A escolha dos servidores para sincronia do tempo a serem utilizados em um servio presente na infra-estrutura segue uma orientao geral que descreve a necessidade de sincronismo com pelo menos um servidor localizado na regio onde est presente o servidor que se deseja instalar. Associado a esta estratgia deveremos acrescentar pelo menos um servidor de tempo presente em cada continente, em nosso exemplo utilizamos dois servidores no Brasil, um na Argentina, um no Canad, um nos Estados Unidos da Amrica, um na Frana, um na Alemanha, um na Rssia e um no Japo.

Infra-Estrutura de Servios de Rede

Pgina 5

Instalao do Servio de Tempo

5 Instalando o Servio de Tempo

5.1 Servidores Linux
Para instalar o servio de tempo em ambientes Unix, necessrio que o pacote de software seja obtido no endereo eletrnico http://www.ntp.org/downloads.html, onde dever ser realizado o download da ltima verso, neste guia utilizamos verso 4.2.2p4. Uma vez obtido a referida verso necessrio que o pacote de software esteja disponvel no diretrio /usr/local/src e seguido os passos abaixo: 1) 2) 3) 4) 5) 6) 7) cd /usr/local/src tar xvzf ntp-4.2.2p4.tar.gz cd ntp-4.2.2p4 ./configure make make check make install (este comando dever ser realizado como root do sistema)

Infra-Estrutura de Servios de Rede

Pgina 6

Instalao do Servio de Tempo

5.2 Servidores Windows

Para instalar o servio de tempo em ambientes Windows, necessrio que o pacote de software seja obtido no endereo eletrnico http://www.meinberg.de/english/sw/ntp.htm#ntp_nt/, onde dever ser realizado o download da ltima verso, neste guia utilizamos verso ntp-4.2.0a@mbg-fluxcapv2-o-win32-setup.exe.
Uma vez obtido localmente a cpia do software iniciado a sua instalao, exibindo a janela inicial abaixo que dever ser pressionado o boto I Agree.

Infra-Estrutura de Servios de Rede

Pgina 7

Instalao do Servio de Tempo

Seguidamente apresentado o diretrio onde dever ser instalado o software servidor de tempo, caso o administrador no concorde com o path indicado este poder escolher outro diretrio conforme apresentado na figura abaixo.

Infra-Estrutura de Servios de Rede

Pgina 8

Instalao do Servio de Tempo

Uma vez selecionado o diretrio onde dever ser instalado a raiz do pacote solicitado ao administrador criao do arquivo padro de configurao porm recomendamos que seja criado uma configurao inicial sem referencia de nenhum servidor especfico conforme apresentado na figura abaixo.

Infra-Estrutura de Servios de Rede

Pgina 9

Instalao do Servio de Tempo

Definido os itens apresentados nas etapas anteriores o software ir criar como boas prticas uma conta especfica para este servio sendo associadamente definidas alguns critrios especficos definidos nos itens checkbox apresentado na janela abaixo.

Infra-Estrutura de Servios de Rede

Pgina 10

Instalao do Servio de Tempo

Como requerimento final o sistema solicitar uma senha associada conta ntp criada nas etapas anteriores conforme apresentada na figura abaixo.

Infra-Estrutura de Servios de Rede

Pgina 11

Instalao do Servio de Tempo

Uma vez preenchido todos os itens anteriores o sistema terminar seu processo de instalao informando globalmente todos os requerimentos preenchidos pelo administrador.

Infra-Estrutura de Servios de Rede

Pgina 12

Instalao do Servio de Tempo

Terminado o processo de instalao do software NTP Server for Windows o mesmo criar a estrutura de diretrio apresentado abaixo, esta estrutura ir ser utilizada no processo de configurao.

Infra-Estrutura de Servios de Rede

Pgina 13

Instalao do Servio de Tempo

5.2.1 Checando o Processo de Ativao

Para confirmar se a instalao do pacote NTP no sistema Windows realizou-se dentro do esperado recomenda-se que o administrador verifique se o servio NTP est sendo executado, para tanto basta verificar se o servio ativado de maneira automtica conforme apresentado na janela abaixo.

Infra-Estrutura de Servios de Rede

Pgina 14

Instalao do Servio de Tempo

Uma vez ativado o servio, basta verificar por meio de um duplo click no item de anteriormente apresentado, para obter o detalhamento de ativao que dever ser semelhante aos dados apresentados na figura abaixo.

Infra-Estrutura de Servios de Rede

Pgina 15

Instalao do Servio de Tempo

6 Configurao do Servio de Tempo

6.1 Servidores Linux
Uma vez instalado o pacote de software NTP conforme apresentado no item 5.1, a etapa seguinte a configurao do servio. Este processo baseado no preenchimento do arquivo de configurao ntp.conf localizado no diretrio /etc, os arquivos secundrios utilizados por esta soluo devero estar localizados no diretrio /etc/ntp, caso no exista, o mesmo dever ser criado usando para tanto o comando mkdir /etc/ntp. O arquivo ntp.conf constitudo de diversos comandos que detalharemos a seguir. Para auxiliar a documentao poder ser adicionado comentrios no arquivo de configurao, para tanto basta adicionar o caractere especial # em qualquer parte do arquivo. Os trechos compreendidos entre as linhas 8 a 16 descrevem os servidores utilizados para sincronizar o tempo com o servidor a ser oferecido a infra-estrutura, como boa prtica recomendado que o servidor seja indicado pelo nome no utilizando o seu nmero IP, uma vez que as instituies responsveis podem alterar sua designao IP a qualquer momento.

1 2 # 3 ###################################################################### 4 # Definicao dos Servidores de Tempo 5 ###################################################################### 6 # 7 8 server ntp.cais.rnp.br 9 server ntp.pop-sc.rnp.br 10 server tick.nap.com.ar 11 server time.chu.nrc.ca 12 server ntp-1.mcs.anl.gov 13 server tick.fh-augsburg.de 14 server ntp.obspm.fr 15 server ntp.psn.ru 16 server ntp.cyber-fleet.net

Infra-Estrutura de Servios de Rede

Pgina 16

Instalao do Servio de Tempo

Uma vez defindo quais os servidores de sincronia utilizados devemos definir o seu escopo de acesso, isto definido pelo comando restrict que utiliza basicamente trs modificadores descritos abaixo: Nomodify, indica que sero ignorados pacotes NTP oriundos destes servidores. Noquery, indica que sero ignorados pacotes NTP que faam algum tipo de query ou solicitao de mudana de configurao, porm sero aceitos solicitaes de sincronia de tempo. Notrap, indica que nenhuma ao externa dever ser executada.

18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34

# ###################################################################### # Definicao de Restricoes de Acesso ###################################################################### # restrict ntp.cais.rnp.br restrict ntp.pop-sc.rnp.br restrict tick.nap.com.ar restrict time.chu.nrc.ca restrict ntp-1.mcs.anl.gov restrict tick.fh-augsburg.de restrict ntp.obspm.fr restrict ntp.psn.ru restrict ntp.cyber-fleet.net restrict 192.168.0.0 restrict 127.0.0.1 mask 255.255.255.255 nomodify notrap noquery mask 255.255.255.255 nomodify notrap noquery mask 255.255.255.255 nomodify notrap noquery mask 255.255.255.255 nomodify notrap noquery mask 255.255.255.255 nomodify notrap noquery mask 255.255.255.255 nomodify notrap noquery mask 255.255.255.255 nomodify notrap noquery mask 255.255.255.255 nomodify notrap noquery mask 255.255.255.255 nomodify notrap noquery mask 255.255.255.0 nomodify notrap

A linha nmero 33, indica ao servio que sero permitidas solicitaes de tempo oriundos da rede 192.168.0.0, que em nosso exemplo todo o escopo da rede interna, porm podero ser utilizados apenas alguns seguimentos pois em associao a este comando poderemos utilizar o comando mask, associadamente deveremos liberar a interface local do sistema que padronizada pelo nmero IP 127.0.0.1.

Infra-Estrutura de Servios de Rede

Pgina 17

Instalao do Servio de Tempo

Como boa prtica recomendado que o servio produza logs possibilitando assim ao administrador o acompanhamento funcional do servio, para tanto basta indicar o escopo desta gerao que em nosso exemplo all, ou seja, gera log para todas as categorias, conforme definido na linha 42, associadamente necessrio indicar a localizao de gerao deste arquivo que em nosso exemplo estar depositado em /etc/ntp/ntp.log (linha 43).

36 37 38 39 40 41 42 43

# ###################################################################### # Definicao da Localizacao de Log ###################################################################### # logconfig all logfile /etc/ntp/ntp.log

Dever ser indicado localizao de um arquivo muito importante dentro da estratgia funcional do servidor de tempo, este arquivo contm a mdia das medidas de tempo aprendidas e dever ser localizado com o comando driftfile, conforme indicado na linha 51.
45 46 47 48 49 50 51 # ###################################################################### # Definicao do Arquivo de Medicao do Relogio ###################################################################### # driftfile /etc/ntp/ntp.drift

Infra-Estrutura de Servios de Rede

Pgina 18

Instalao do Servio de Tempo

Abaixo seguem as definies que so opcionais para o funcionamento do servio, estas definem estatsticas de uso que podero posteriormente serem utilizadas para apresentar a efetividade de utilizao desta facilidade dentro da infra-estrutura, porm caso o administrador local da rede decida no utilizar esta caracterstica, os trechos compreendidos entre as linhas 53 a 62 devero ser removidas.

53 54 55 56 57 58 59 60 61 62

# ###################################################################### # Definicao de Estatisticas ###################################################################### # statsdir /etc/ntp/stats/ statistics loopstats clockstats filegen loopstats file loopstats type day enable filegen clockstats file clockstats type day enable

Infra-Estrutura de Servios de Rede

Pgina 19

Instalao do Servio de Tempo

6.1.1 Arquivo de Configurao usado em Linux

# ###################################################################### # Definicao dos Servidores de Tempo ###################################################################### # server ntp.cais.rnp.br server ntp.pop-sc.rnp.br server tick.nap.com.ar server time.chu.nrc.ca server ntp-1.mcs.anl.gov server tick.fh-augsburg.de server ntp.obspm.fr server ntp.psn.ru server ntp.cyber-fleet.net # ###################################################################### # Definicao de Restricoes de Acesso ###################################################################### # restrict ntp.cais.rnp.br mask 255.255.255.255 nomodify notrap noquery restrict ntp.pop-sc.rnp.br mask 255.255.255.255 nomodify notrap noquery restrict tick.nap.com.ar mask 255.255.255.255 nomodify notrap noquery restrict time.chu.nrc.ca mask 255.255.255.255 nomodify notrap noquery restrict ntp-1.mcs.anl.gov mask 255.255.255.255 nomodify notrap noquery restrict tick.fh-augsburg.de mask 255.255.255.255 nomodify notrap noquery restrict ntp.obspm.fr mask 255.255.255.255 nomodify notrap noquery restrict ntp.psn.ru mask 255.255.255.255 nomodify notrap noquery restrict ntp.cyber-fleet.net mask 255.255.255.255 nomodify notrap noquery restrict 192.168.0.0 mask 255.255.255.0 nomodify notrap restrict 127.0.0.1 # ###################################################################### # Definicao da Localizacao de Log ###################################################################### # logconfig all logfile /etc/ntp/ntp.log # ###################################################################### # Definicao do Arquivo de Medicao do Relogio ###################################################################### # driftfile /etc/ntp/ntp.drift # ###################################################################### # Definicao de Estatisticas ###################################################################### # statsdir /etc/ntp/stats/ statistics loopstats clockstats filegen loopstats file loopstats type day enable filegen clockstats file clockstats type day enable

Infra-Estrutura de Servios de Rede

Pgina 20

Instalao do Servio de Tempo

6.1.2 Ativao Automtica do Deamon NTP

Para que o deamon NTP seja automaticamente iniciado pelo servidor Linux necessrio que o mesmo seja definido nos scripts padro de ativao do sistema, para tanto necessrio o conhecido do nvel default atualmente usado, esta informao obtida no arquivo /etc/inittab na linha inittdefault que em nosso exemplo 5.
# # inittab This file describes how the INIT process should set up # the system in a certain run-level. # # Author: Miquel van Smoorenburg, <miquels@drinkel.nl.mugnet.org> # Modified for RHS Linux by Marc Ewing and Donnie Barnes # # Default runlevel. The runlevels used by RHS are: # 0 - halt (Do NOT set initdefault to this) # 1 - Single user mode # 2 - Multiuser, without NFS (The same as 3, if you do not have networking) # 3 - Full multiuser mode # 4 - unused # 5 - X11 # 6 - reboot (Do NOT set initdefault to this) # id:5:initdefault:

Infra-Estrutura de Servios de Rede

Pgina 21

Instalao do Servio de Tempo

Uma vez conhecido o nvel default do sistema basta adicionar o script abaixo no diretrio /etc/rc.d/rc5.d com o nome S99ntpd e seguidamente executar os seguintes comandos: 1) 2) 3) 4) 5) cd /etc/init.d vi ntpd (Arquivo criado a partir de um cut and paste) chmod 755 ntpd cd /etc/rc.d/rc5.d ln s ../init.d/ntpd S99ntpd

. /etc/rc.d/init.d/functions . /etc/sysconfig/network [ ${NETWORKING} = "no" ] && exit 0 [ -x /usr/local/bin/ntpd -a -f /etc/ntp.conf ] || exit 0 RETVAL=0 case "$1" in start) /usr/local/bin/ntpdate -s -b -p 8 -u ntp.cais.rnp.br ntp.pop-sc.rnp.br echo -n "Starting ntpd: " daemon /usr/local/bin/ntpd -c /etc/ntp.conf RETVAL=$? echo [ $RETVAL -eq 0 ] && touch /var/lock/subsys/ntpd ;; stop) # Stop daemons. echo -n "Shutting down ntpd: " killproc ntpd RETVAL=$? echo [ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/ntpd ;; status) status ntpd RETVAL=$? ;; restart|reload) $0 stop $0 start RETVAL=$? ;; *) echo "Usage: ntpd {start|stop|restart|status}" exit 1 esac exit $RETVAL

Infra-Estrutura de Servios de Rede

Pgina 22

Instalao do Servio de Tempo

6.2 Servidores Windows

Uma vez instalado o pacote de software NTP conforme apresentado no item 5.2, a etapa seguinte a configurao do servio que segue as mesmas orientaes apresentadas no item 6.1, pois o pacote escolhido para o ambiente Windows foi adaptado para o ambiente Microsoft, logo so vlidas os mesmos cuidados e explicaes j apresentadas, porm devido natureza do sistema apenas a referncia dos paths necessitam ser alteradas, o arquivo completo apresentado na prxima seo que dever ser localizado em c:\Program Files\NTP\etc.

Infra-Estrutura de Servios de Rede

Pgina 23

Instalao do Servio de Tempo

6.2.1 Arquivo de Configurao usado em Windows

# ###################################################################### # Definicao dos Servidores de Tempo ###################################################################### # server ntp.cais.rnp.br server ntp.pop-sc.rnp.br server tick.nap.com.ar server time.chu.nrc.ca server ntp-1.mcs.anl.gov server tick.fh-augsburg.de server ntp.obspm.fr server ntp.psn.ru server ntp.cyber-fleet.net # ###################################################################### # Definicao de Restricoes de Acesso ###################################################################### # restrict ntp.cais.rnp.br mask 255.255.255.255 nomodify notrap noquery restrict ntp.pop-sc.rnp.br mask 255.255.255.255 nomodify notrap noquery restrict tick.nap.com.ar mask 255.255.255.255 nomodify notrap noquery restrict time.chu.nrc.ca mask 255.255.255.255 nomodify notrap noquery restrict ntp-1.mcs.anl.gov mask 255.255.255.255 nomodify notrap noquery restrict tick.fh-augsburg.de mask 255.255.255.255 nomodify notrap noquery restrict ntp.obspm.fr mask 255.255.255.255 nomodify notrap noquery restrict ntp.psn.ru mask 255.255.255.255 nomodify notrap noquery restrict ntp.cyber-fleet.net mask 255.255.255.255 nomodify notrap noquery restrict 192.168.0.0 mask 255.255.255.0 nomodify notrap restrict 127.0.0.1 # ###################################################################### # Definicao da Localizacao de Log ###################################################################### # logconfig all logfile "C:\Program Files\NTP\etc\ntp.log" # ###################################################################### # Definicao do Arquivo de Medicao do Relogio ###################################################################### # driftfile "C:\Program Files\NTP\etc\ntp.drift" # ###################################################################### # Definicao de Estatisticas ###################################################################### # statsdir "C:\Program Files\NTP\etc\" statistics loopstats clockstats filegen loopstats file loopstats type day enable filegen clockstats file clockstats type day enable

Infra-Estrutura de Servios de Rede

Pgina 24

Instalao do Servio de Tempo

6.3 Estaes de Trabalho Linux

Para configurar as estaes de trabalho baseadas no sistema operacional linux, o administrador precisa instalar o pacote ntp na estao de trabalho conforme orientaes j apresentadas, mas no dever ativar o daemon ntpd, bastando apenas adicionar uma linha de comando no arquivo rc.local localizado em /etc/rc.d, conforme apresentado abaixo.
#!/bin/sh # # This script will be executed *after* all the other init scripts. # You can put your own initialization stuff in here if you don't # want to do the full Sys V style init stuff. touch /var/lock/subsys/local /usr/local/bin/ntpdate -s -b -p 8 -u 192.168.0.5 ntp.cais.rnp.br

Este procedimento adicionalmente poder ser auditado pelo administrador, pois a execuo deste comando provoca uma mensagem sistmica que pode ser facilmente localizada no arquivo de log da estao conforme apresentado abaixo.

[root@resolution ~]# tail /var/log/full.log Dec 29 12:32:30 resolution smartd[2348]: smartd has fork()ed into background mode. New PID=2348. Dec 29 12:32:32 resolution pcscd: winscard.c:219:SCardConnect() Reader E-Gate 0 0 Not Found Dec 29 12:32:32 resolution last message repeated 3 times Dec 29 12:32:33 resolution kernel: [drm] Initialized drm 1.0.1 20051102 Dec 29 12:32:33 resolution kernel: ACPI: PCI Interrupt 0000:00:02.0[A] -> GSI 16 (level, low) -> IRQ 177 Dec 29 12:32:33 resolution kernel: [drm] Initialized i915 1.5.0 20060119 on minor 0 Dec 29 12:40:01 resolution crond[2526]: (root) CMD (/usr/lib/sa/sa1 1 1) Dec 29 12:42:46 resolution sshd[2531]: Accepted password for root from 192.168.0.118 port 2961 ssh2 Dec 29 12:42:46 resolution sshd[2531]: pam_unix(sshd:session): session opened for user root by (uid=0) Dec 29 12:48:27 resolution ntpdate[2573]: step time server 192.168.0.5 offset 0.092210 sec [root@resolution ~]#

Infra-Estrutura de Servios de Rede

Pgina 25

Instalao do Servio de Tempo

6.4 Estaes de Trabalho Windows

O Windows atualmente j oferece as estaes de trabalho o servio de sincronia de tempo de maneira nativa, dispensando a necessidade de programas complementares, para tanto basta clicar com o primeiro boto do mouse no relgio presente na barra de tarefas , conforme apresentado na figura abaixo.

Seguidamente ao procedimento anteriormente executado, ser mostrado conforme figura abaixo uma janela onde encontramos alm do relgio, que indica a hora atual do sistema local, o indicativo Horrio na Internet que dever ser selecionado.

Infra-Estrutura de Servios de Rede

Pgina 26

Instalao do Servio de Tempo

Uma vez selecionado deveremos indicar a estao o servidor de tempo a ser utilizado para sincronizar o seu relgio local em nosso exemplo dever ser utilizado o nmero IP 192.168.0.141 ou 192.168.0.5.

Infra-Estrutura de Servios de Rede

Pgina 27

Instalao do Servio de Tempo

O relgio ser automaticamente sincronizado pela hora padro indicado pelo servidor de tempo, como resultado ser mostrando a hora corrigida conforme apresentado na figura abaixo.

Uma vez definido em todas as estaes o servidor de tempo padro, estes sistemas locais sempre iniciaro com a hora devidamente sincronizada com o servio de tempo presente na infra-estrutura, isto se deve ao fato do processo de sincronizao ocorrer antes da liberao do sistema para utilizao do usurio.

Infra-Estrutura de Servios de Rede

Pgina 28

Instalao do Servio de Tempo

7 Hierarquia de Servidores
Caso em sua organizao seja necessrio utilizar mais de um servidor de tempo recomendado o uso de uma estrutura hierrquica, conforme apresentado na figura abaixo, assim as filiais preferencialmente sincronizaro seus relgios com o servidor central presente na matriz da organizao.

Matriz

Filial 3 Filial 1

Filial 2

Infra-Estrutura de Servios de Rede

Pgina 29

Instalao do Servio de Tempo

8 Comentrios Finais
Um erro muito usual no processo de instalao e configurao do servio de tempo a idia que uma vez terminado o processo o servio est imediatamente disponvel para toda a rede. Esta viso equivocada, pois o servidor demora cerca de 10 minutos para aprender dos diferentes atrasos e com isto calcular a hora corretamente, logo se recomenda aos administradores que aps seguirem estes passos, aguardem o tempo de sincronia de seu servidor.

Infra-Estrutura de Servios de Rede

Pgina 30

Instalao do Servio de Tempo

9 Referncias Bibliogrficas
1) Implementado o servio NTP na sua rede local CAIS Centro de Atendimento a Incidentes de Segurana http://www.rnp.br/_arquivo/cais/manual_ntp_v1b.pdf 2) NTP: The Network Time Protocol www.ntp.org 3) NTP Server for Windows http://www.meinberg.de/english/sw/ntp.htm#ntp_nt/

Infra-Estrutura de Servios de Rede

Pgina 31