xntp ist so voreingestellt, dass die lokale Computeruhr als Zeitreferenz verwendet wird. Das Verwenden der (BIOS-) Uhr ist jedoch nur eine Ausweichlösung, wenn keine genauere Zeitquelle verfügbar ist. YaST erleichtert die Konfiguration von NTP-Clients. Verwenden Sie für Systeme, die keine Firewall ausführen, entweder die schnelle oder die erweiterte Konfiguration. Bei einem durch eine Firewall geschützten System kann die erweiterte Konfiguration die erforderlichen Ports in SuSEfirewall2 öffnen.
Die schnelle NTP-Client-Konfiguration (Eine Option aus 0.opensuse.pool.ntp.org, 1.opensuse.pool.ntp.org, 2.opensuse.pool.ntp.org und 3.opensuse.pool.ntp.org ist vorab ausgewählt. Klicken Sie auf , wenn Sie den vorab ausgewählten Zeitserver verwenden möchten. Alternativ gelangen Sie mit (Wählen) in ein zweites Dialogfeld, in dem Sie einen geeigneten Zeitserver für Ihr Netzwerk auswählen können.
) benötigt zwei Dialogfelder. Im ersten Dialogfeld legen Sie den Start-Modus für xntpd und den abzufragenden Server fest. Wenn xntpd automatisch beim Booten des Systems gestartet werden soll, klicken Sie auf . Geben Sie anschließend die an.Abbildung 24-1 YaST: NTP-Konfiguration
Geben Sie in der Pulldown-Liste unter
an, ob die Zeitsynchronisierung anhand eines Zeitservers in Ihrem lokalen Netzwerk ( ) oder eines Zeitservers im Internet erfolgen soll, der Ihre Zeitzone verwaltet ( ). Bei einem lokalen Zeitserver klicken Sie auf , um eine SLP-Abfrage für verfügbare Zeitserver in Ihrem Netzwerk zu starten. Wählen Sie den am besten geeigneten Zeitserver in der Liste der Suchergebnisse aus und schließen Sie das Dialogfeld mit . Bei einem öffentlichen Zeitserver wählen Sie in der Liste unter Ihr Land (Ihre Zeitzone) sowie einen geeigneten Server aus und schließen das Dialogfeld dann mit . Im Hauptdialogfeld testen Sie die Verfügbarkeit des ausgewählten Servers mit und schließen das Dialogfeld mit .Die erweiterte Konfiguration eines NTP-Clients kann unter Abbildung 24-1). Zunächst müssen Sie jedoch einen Start-Modus auswählen wie bei der schnellen Konfiguration beschrieben.
im Hauptdialogfeld des Moduls aufgerufen werden (sieheAbbildung 24-2 Erweiterte NTP-Konfiguration: Allgemeine Einstellungen
Sie können den NTP-Client entweder manuell oder automatisch konfigurieren, um eine Liste der NTP-Server zu erhalten, die über DHCP in Ihrem Netzwerk verfügbar sind. Wenn Sie
wählen, sind die unten erklärten Optionen nicht verfügbar.Die Server und anderen Zeitquellen für die Abfrage durch den Client sind im unteren Bereich im Karteireiter
aufgelistet. Bearbeiten Sie diese Liste nach Bedarf mithilfe der Optionen , und . Protokoll anzeigen können die Protokolldateien Ihres Clients angezeigt werden.Klicken Sie auf
, um eine neue Quelle für Zeitinformationen hinzuzufügen. Wählen Sie im nachfolgenden Dialogfeld den Quellentyp aus, mit dem die Zeitsynchronisierung vorgenommen werden soll. Mit den zur Verfügung stehenden Optionen können SieIn einem anderen Dialogfeld können Sie einen NTP-Server auswählen (siehe Beschreibung unter Abschnitt 24.1.1, Schnelle NTP-Client-Konfiguration). Aktivieren Sie , um die Synchronisierung der Zeitinformationen zwischen dem Server und dem Client auszulösen, wenn das System gebootet wird. Unter können Sie weitere Optionen für xntpd einstellen.
Mit den restrict-Klauseln der Datei /etc/ntp.conf. Die Klausel nomodify notrap noquery verhindert beispielsweise, dass der Server die NTP-Einstellungen Ihres Computers ändern und die Trap-Funktion (eine Fernprotokollierungsfunktion für Ereignisse) Ihres NTP-Daemons verwenden kann. Diese Einschränkungen werden besonders für Server außerhalb Ihrer Kontrolle empfohlen (z. B. im Internet).
(Zugriffskontrolloptionen) können Sie die Aktionen einschränken, die der entfernte Computer mit dem Daemon Ihres Computers ausführen kann. Dieses Feld ist nur aktiviert, wenn die Option (NTP-Dienst auf konfigurierte Server beschränken) auf dem Karteireiter aktiviert ist. Die Optionen entsprechen denZiehen Sie bezüglich detaillierter Informationen /usr/share/doc/packages/xntp-doc zurate (Bestandteil des xntp-doc-Pakets).
Ein Peer ist ein Computer, mit dem eine symmetrische Beziehung eingerichtet wird: Er fungiert sowohl als Zeitserver als auch als Client. Wenn Sie einen Peer im selben Netzwerk anstelle eines Servers verwenden möchten, geben Sie die Adresse des Systems ein. Der Rest des Dialogfelds ist mit dem Dialogfeld
identisch.Wenn eine Funkuhr für die Zeitsynchronisierung in Ihrem System verwendet werden soll, geben Sie Uhrtyp, Gerätezahl, Gerätename und weitere Optionen in diesem Dialogfeld ein. Klicken Sie auf /usr/share/doc/packages/xntp-doc/refclock.html.
, um den Treiber genauer einzustellen. Detaillierte Informationen zum Betrieb einer lokalen Funkuhr finden Sie inZeitinformationen und Abfragen können im Netzwerk auch per Broadcast übermittelt werden. Geben Sie in diesem Dialogfeld die Adresse ein, an die Broadcasts gesendet werden sollen. Die Option für Broadcasts sollte nur aktiviert werden, wenn Ihnen eine zuverlässige Zeitquelle, etwa eine funkgesteuerte Uhr, zur Verfügung steht.
Wenn Ihr Client die entsprechenden Informationen per Broadcast erhalten soll, geben Sie in diesen Feldern die Adresse ein, von der die jeweiligen Pakete akzeptiert werden sollen.
Abbildung 24-3 Erweiterte NTP-Konfiguration: Sicherheitseinstellungen
Legen Sie auf dem Karteireiter
fest, ob xntpd in einem "Chroot-Jail" gestartet werden soll. Standardmäßig ist aktiviert. Hierdurch wird die Sicherheit im Falle eines Angriffs über xntpd erhöht, da der Angreifer daran gehindert wird, das gesamte System zu beeinträchtigen.Die Option
(NTP-Dienst auf konfigurierte Server beschränken) erhöht die Sicherheit Ihres Systems. Wenn gewählt, verhindert diese Option, dass entfernte Computer die NTP-Einstellungen Ihres Computers anzeigen und ändern und die Trap-Funktion für die Fernprotokollierung von Ereignissen verwenden können. Wenn gewählt, gelten diese Einschränkungen für alle entfernten Computer, es sei denn, Sie überschreiben die Zugriffskontrolloptionen für einzelne Computer in der Liste der Zeitquellen auf dem Karteireiter . Allen anderen entfernten Computern wird nur die Abfrage der lokalen Zeit erlaubt.Aktivieren Sie
, wenn SuSEfirewall2 aktiviert ist (Standardeinstellung). Wenn Sie den Port geschlossen lassen, können Sie keine Verbindung zum Zeitserver herstellen.