24.1.1 Schnelle NTP-Client-Konfiguration

Die schnelle NTP-Client-Konfiguration (Netzwerkdienste > NTP-Konfiguration) benötigt zwei Dialogfelder. Im ersten Dialogfeld legen Sie den Start-Modus für xntpd und den abzufragenden Server fest. Wenn xntpd automatisch beim Booten des Systems gestartet werden soll, klicken Sie auf Jetzt und beim Systemstart. Geben Sie anschließend die NTP-Server-Konfiguration an. Eine Option aus 0.opensuse.pool.ntp.org, 1.opensuse.pool.ntp.org, 2.opensuse.pool.ntp.org und 3.opensuse.pool.ntp.org ist vorab ausgewählt. Klicken Sie auf &Zufällig ausgewählte Server von pool.ntp.org verwenden, wenn Sie den vorab ausgewählten Zeitserver verwenden möchten. Alternativ gelangen Sie mit Select (Wählen) in ein zweites Dialogfeld, in dem Sie einen geeigneten Zeitserver für Ihr Netzwerk auswählen können.

Abbildung 24-1 YaST: NTP-Konfiguration

Geben Sie in der Pulldown-Liste unter Auswählen an, ob die Zeitsynchronisierung anhand eines Zeitservers in Ihrem lokalen Netzwerk (Lokaler NTP-Server) oder eines Zeitservers im Internet erfolgen soll, der Ihre Zeitzone verwaltet (Öffentlicher NTP-Server). Bei einem lokalen Zeitserver klicken Sie auf Lookup, um eine SLP-Abfrage für verfügbare Zeitserver in Ihrem Netzwerk zu starten. Wählen Sie den am besten geeigneten Zeitserver in der Liste der Suchergebnisse aus und schließen Sie das Dialogfeld mit OK. Bei einem öffentlichen Zeitserver wählen Sie in der Liste unter Öffentlicher NTP-Server Ihr Land (Ihre Zeitzone) sowie einen geeigneten Server aus und schließen das Dialogfeld dann mit OK. Im Hauptdialogfeld testen Sie die Verfügbarkeit des ausgewählten Servers mit Test und schließen das Dialogfeld mit Verlassen.

24.1.2 Erweiterte NTP-Client-Konfiguration

Die erweiterte Konfiguration eines NTP-Clients kann unter Erweiterte Konfiguration im Hauptdialogfeld des Moduls NTP-Konfiguration aufgerufen werden (siehe Abbildung 24-1). Zunächst müssen Sie jedoch einen Start-Modus auswählen wie bei der schnellen Konfiguration beschrieben.

Abbildung 24-2 Erweiterte NTP-Konfiguration: Allgemeine Einstellungen

Sie können den NTP-Client entweder manuell oder automatisch konfigurieren, um eine Liste der NTP-Server zu erhalten, die über DHCP in Ihrem Netzwerk verfügbar sind. Wenn Sie NTP-Dämon über DHCP konfigurieren wählen, sind die unten erklärten Optionen nicht verfügbar.

Die Server und anderen Zeitquellen für die Abfrage durch den Client sind im unteren Bereich im Karteireiter Allgemeine Einstellungen aufgelistet. Bearbeiten Sie diese Liste nach Bedarf mithilfe der Optionen Hinzufügen, Bearbeiten und Löschen. Mit Protokoll anzeigen können die Protokolldateien Ihres Clients angezeigt werden.

Klicken Sie auf Hinzufügen, um eine neue Quelle für Zeitinformationen hinzuzufügen. Wählen Sie im nachfolgenden Dialogfeld den Quellentyp aus, mit dem die Zeitsynchronisierung vorgenommen werden soll. Mit den zur Verfügung stehenden Optionen können Sie

Server

In einem anderen Dialogfeld können Sie einen NTP-Server auswählen (siehe Beschreibung unter Abschnitt 24.1.1, Schnelle NTP-Client-Konfiguration). Aktivieren Sie Für initiale Synchronisierung verwenden, um die Synchronisierung der Zeitinformationen zwischen dem Server und dem Client auszulösen, wenn das System gebootet wird. Unter Optionen können Sie weitere Optionen für xntpd einstellen.

Mit den Access Control Options (Zugriffskontrolloptionen) können Sie die Aktionen einschränken, die der entfernte Computer mit dem Daemon Ihres Computers ausführen kann. Dieses Feld ist nur aktiviert, wenn die Option Restrict NTP Service to Configured Servers Only (NTP-Dienst auf konfigurierte Server beschränken) auf dem Karteireiter Sicherheitseinstellungen aktiviert ist. Die Optionen entsprechen den restrict-Klauseln der Datei /etc/ntp.conf. Die Klausel nomodify notrap noquery verhindert beispielsweise, dass der Server die NTP-Einstellungen Ihres Computers ändern und die Trap-Funktion (eine Fernprotokollierungsfunktion für Ereignisse) Ihres NTP-Daemons verwenden kann. Diese Einschränkungen werden besonders für Server außerhalb Ihrer Kontrolle empfohlen (z. B. im Internet).

Ziehen Sie bezüglich detaillierter Informationen /usr/share/doc/packages/xntp-doc zurate (Bestandteil des xntp-doc-Pakets).

Peer

Ein Peer ist ein Computer, mit dem eine symmetrische Beziehung eingerichtet wird: Er fungiert sowohl als Zeitserver als auch als Client. Wenn Sie einen Peer im selben Netzwerk anstelle eines Servers verwenden möchten, geben Sie die Adresse des Systems ein. Der Rest des Dialogfelds ist mit dem Dialogfeld Server identisch.

Funkuhr

Wenn eine Funkuhr für die Zeitsynchronisierung in Ihrem System verwendet werden soll, geben Sie Uhrtyp, Gerätezahl, Gerätename und weitere Optionen in diesem Dialogfeld ein. Klicken Sie auf Treiber-Kalibirierung, um den Treiber genauer einzustellen. Detaillierte Informationen zum Betrieb einer lokalen Funkuhr finden Sie in /usr/share/doc/packages/xntp-doc/refclock.html.

Ausgangs-Broadcast

Zeitinformationen und Abfragen können im Netzwerk auch per Broadcast übermittelt werden. Geben Sie in diesem Dialogfeld die Adresse ein, an die Broadcasts gesendet werden sollen. Die Option für Broadcasts sollte nur aktiviert werden, wenn Ihnen eine zuverlässige Zeitquelle, etwa eine funkgesteuerte Uhr, zur Verfügung steht.

Eingangs-Broadcast

Wenn Ihr Client die entsprechenden Informationen per Broadcast erhalten soll, geben Sie in diesen Feldern die Adresse ein, von der die jeweiligen Pakete akzeptiert werden sollen.

Abbildung 24-3 Erweiterte NTP-Konfiguration: Sicherheitseinstellungen

Legen Sie auf dem Karteireiter Sicherheitseinstellungen fest, ob xntpd in einem "Chroot-Jail" gestartet werden soll. Standardmäßig ist DHCP-Daemon in Chroot-Jail starten aktiviert. Hierdurch wird die Sicherheit im Falle eines Angriffs über xntpd erhöht, da der Angreifer daran gehindert wird, das gesamte System zu beeinträchtigen.

Die Option Restrict NTP Service to Configured Servers Only (NTP-Dienst auf konfigurierte Server beschränken) erhöht die Sicherheit Ihres Systems. Wenn gewählt, verhindert diese Option, dass entfernte Computer die NTP-Einstellungen Ihres Computers anzeigen und ändern und die Trap-Funktion für die Fernprotokollierung von Ereignissen verwenden können. Wenn gewählt, gelten diese Einschränkungen für alle entfernten Computer, es sei denn, Sie überschreiben die Zugriffskontrolloptionen für einzelne Computer in der Liste der Zeitquellen auf dem Karteireiter Allgemeine Einstellungen. Allen anderen entfernten Computern wird nur die Abfrage der lokalen Zeit erlaubt.

Aktivieren Sie Firewall-Port öffnen, wenn SuSEfirewall2 aktiviert ist (Standardeinstellung). Wenn Sie den Port geschlossen lassen, können Sie keine Verbindung zum Zeitserver herstellen.