Chinaunix首页 | 论坛 | 博客
  • 博客访问: 572348
  • 博文数量: 67
  • 博客积分: 2792
  • 博客等级: 少校
  • 技术积分: 1038
  • 用 户 组: 普通用户
  • 注册时间: 2010-03-13 19:00
文章分类

全部博文(67)

文章存档

2014年(2)

2013年(7)

2012年(1)

2011年(1)

2010年(56)

分类: 系统运维

2013-05-10 16:15:30

一、配置前需要了解的概念:

1.利用 restrict 来管理权限控制 :
在 ntp.conf 档案内可以利用『 restrict 』来控管权限,这个参数的设定方式为∶
restrict [你的IP] mask [netmask_IP] [parameter]
其中 parameter 的参数主要有底下这些∶



·         ignore
拒绝所有类型的 NTP 连线;

·         nomodiy
用户端不能更改 NTP 服务器的时间参数,这即表示用户端不能使用 ntpc 与 ntpq 这两支程式来修改服务器。 但用户端仍可透过这部主机来进行网路校时的;

·         noquery
用户端不能够使用 ntpq, ntpc 等指令来查询时间服务器,等于不提供 NTP 的网路校时棉;

·         notrap
不提供 trap 这个远端事件登录 (remote event logging) 的功能。

·         notrust
拒绝没有认证的用户端。

那如果没有在 parameter 的地方加上任何参数的话,这表示『该 IP 或网段不受任何限制』的意思,一般来说,我们可以先关闭 NTP 的使用权限,然后在一个一个的启用允许登入的网段。

2.利用 server 设定上层 NTP 服务器 
上层 NTP 服务器的设定方式为∶
server [IP or hostname] [prefer]
在 server 后端可以接 IP 或主机名称,perfer 表示『优先使用』的主机

3. driftfile 记录时间差异 
设定的方式如下∶
driftfile [可以被 ntpd 写入的目录与档案]
因为预设的 NTP Server 本身的时间计算是依据 BIOS 的晶片震荡周期频率来计算的,但是这个数值与上层 Time Server 不见得会一致!所以 NTP 这个 daemon (ntpd) 会自动的去计算我们自己主机的频率与上层 Time server 的频率,并且将两个频率的误差记录下来,记录下来的档案就是在 driftfile 后面接的完整档名当中了

4.keys [key_file] 
除了以 restrict 来限制用户端的连线之外,我们也可以透过金钥系统来给用户端认证

二、下面是服务器的具体配置实例:

服务器端:

1.配置文件:/etc/ntp.conf

restrict default nomodify        #默认拒绝所有机器修改本机的时间参数

restrict 64.147.116.229           #允许此服务器修改本机的时间参数,此地址为纽约internet公司地址校准地址

restrict 192.168.0.0 mask 255.255.255.0 nomodify notrap #允许192.168.0.x网段校准时间

restrict 127.0.0.1    #允许本机通过本机校准时间

server 64.147.116.229 prefer #64.147.116.229为上层主时间同步服务器。

server time.windows.com       #为时间校准提供一个参考地址

server 127.127.1.0           #上层时间服务器没响应的情况下,以本机本身进行校准

fudge 127.127.1.0 stratum 8  #定义本机的层数

driftfile       /var/lib/ntp/ntp.driftserver #保存系统时间与硬件时间差的一个文件

logfile /var/log/ntpd.log  #定义日志存放路径

2.配置完成后启动ntpd服务器:

/etc/init.d/ntpd start

3.查看服务是否正常启动:

Netstat –auntp |grep ntp

udp        0      0 192.168.0.45:123        0.0.0.0:*                           15338/ntpd         

udp        0      0 127.0.0.1:123           0.0.0.0:*                           15338/ntpd         

udp        0      0 0.0.0.0:123             0.0.0.0:*                           15338/ntpd

4.查看本机与上层时间服务器同步状态:

# ntpq -p

     remote           refid      st t when poll reach   delay   offset  jitter

==============================================================================

*nist1-la.ustimi .ACTS.           1 u  315  512  377  226.334    3.750  11.559

+64.4.10.33      10.20.229.51     2 u  324  512  377  212.833   -2.553  46.058

参数详情:

remote∶即是 NTP 主机的 IP 或主机名称,注意最左边的符号, 如果有『*』响应的NTP服务器和最精确的服务器,如果是『+』响应这个查询请求的服务器。 
refid∶参考的上一层 NTP 主机的位址 
st∶就是 stratum 阶层
when∶几秒钟前曾经做过时间同步化更新的动作; 
poll∶下一次更新在几秒钟之后; 
reach∶已经向上层 NTP 服务器要求更新的次数 
delay∶网路传输过程当中延迟的时间,单位为 10^(-6) 秒 
offset∶时间补偿的结果,单位与 10^(-6) 秒 
jitter∶Linux 系统时间与 BIOS 硬体时间的差异时间, 单位为 10^(-6) 秒。

三、客户端配置:

restrict default nomodify

restrict 192.168.0.248

restrict 127.0.0.1

server time.uuwatch.com prefer

driftfile       /var/lib/ntp/ntp.drift

logfile /var/log/ntpd.log

阅读(1524) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~