SUSE Linux Enterprise Desktop 11 SP3: Capítulo 24. Sincronização de horário com NTP

Capítulo 24. Sincronização de horário com NTP¶

Sumário

24.1. Configurando um cliente NTP com o YaST
24.2. Configurando manualmente o NTP na rede
24.3. Sincronização de horário dinâmica em tempo de execução
24.4. Configurando um relógio de referência local

Resumo

O mecanismo NTP (network time protocol) é um protocolo para sincronizar o horário do sistema na rede. Primeiro, uma máquina pode obter o horário de um servidor, que é uma fonte de horário confiável. Segundo, a máquina pode agir como uma fonte de horário para outros computadores na rede. O objetivo é duplo: manter o tempo absoluto e a sincronização do horário do sistema de todas as máquinas na rede.

Manter um horário exato do sistema é importante em várias situações. Geralmente, o relógio do hardware incorporado não atende aos requisitos dos aplicativos, como bancos de dados ou clusters. A correção manual do horário do sistema levaria a problemas severos pois, por exemplo, um pulo inverso pode causar o mau funcionamento de aplicativos críticos. Em uma rede, geralmente é necessário sincronizar o horário do sistema de todas as máquinas, porém, o ajuste manual do horário não é um bom método. O NTP dispõe de um mecanismo para resolver esses problemas. O serviço NTP ajusta continuamente o horário do sistema com a ajuda de servidores de horário confiáveis na rede. Ele habilita também o gerenciamento de relógios de referência local como relógios controlados pelo rádio.


Para habilitar a sincronização de horário por meio do diretório ativo, siga as instruções no Procedimento “Joining an AD Domain” (↑Security Guide (Guia de Segurança)).

24.1. Configurando um cliente NTP com o YaST¶

O daemon do NTP (ntpd) que acompanha o pacote ntp vem predefinido para usar o relógio do computador como a referência de horário. Entretanto, o uso do relógio do hardware só serve como fallback nos casos em que não há uma fonte de horário mais precisa disponível. O YaST facilita a configuração de um cliente NTP.

24.1.1. Configuração Básica¶

A configuração do cliente NTP do YaST (Serviços de Rede+Configuração NTP) consiste em guias. Defina o modo de iniciar do ntpd e o servidor para consulta na guia Configurações Gerais.

Apenas Manualmente: Selecione Apenas Manualmente para iniciar manualmente o daemon ntpd.
Agora e ao Inicializar: Selecione Agora e ao Inicializar para iniciar o ntpd automaticamente quando o sistema for inicializado. Essa configuração é altamente recomendada. Em seguida, configure o servidor conforme descrito na Seção 24.1.2, “Mudando a configuração básica”.

24.1.2. Mudando a configuração básica¶

Os servidores e outras fontes de horário para a consulta do cliente estão listados na guia Configurações Gerais. Modifique esta lista conforme necessário com Adicionar, Editar e Apagar. Exibir Registro fornece a possibilidade de exibir os arquivos de registro do seu cliente.

Clique em Adicionar para adicionar uma nova fonte de informação de horário. Na caixa de diálogo seguinte, selecione o tipo de fonte com a qual a sincronização de horário deve ser realizada. As seguintes opções estão disponíveis:

Figura 24.1. YaST: Servidor NTP¶

Servidor

Na lista suspensa Selecionar (veja a Figura 24.1, “YaST: Servidor NTP”), determine se é para configurar a sincronização de horário usando um servidor de horário da rede local (Servidor NTP Local) ou um servidor de horário baseado na Internet que controla o seu fuso horário (Servidor NTP Público). Para um servidor de horário local, clique em Busca para iniciar uma consulta SLP por servidores de horário disponíveis na sua rede. Selecione o servidor de horário mais adequado a partir da lista de resultados de pesquisa e saia da caixa de diálogo com OK. Para um servidor de horário público, selecione o país (fuso horário) e um servidor adequado da lista sob Servidor NTP Público, em seguida, saia da caixa de diálogo com OK. Na caixa de diálogo principal, teste a disponibilidade do servidor selecionado com Testar. Opções permite que você especifique opções adicionais para o ntpd.

Com o uso de Opções de Controle de Acesso, você pode restringir as ações que o computador remoto pode desempenhar com o daemon em execução no seu computador. Esse campo apenas será habilitado após marcar Restringir Serviço NTP Apenas aos Servidores Configurados na guia Configurações de Segurança (veja a Figura 24.2, “Configuração NTP Avançada: Configurações de Segurança”). As opções correspondem às cláusulas restrict em /etc/ntp.conf. Por exemplo, nomodify notrap noquery não permite que o servidor modifique as configurações de NTP do seu computador e use o recurso de detecção (um recurso de registro de eventos remotos) do seu daemon NTP. O uso dessas restrições é recomendado para os servidores fora de controle (por exemplo, na Internet).

Consulte /usr/share/doc/packages/ntp-doc (parte do pacote ntp-doc) para obter informações detalhadas.

Peer

Um peer é uma máquina com a qual é estabelecido um relacionamento simétrico: ele atua como servidor de horário e como cliente. Para usar um peer na mesma rede em vez de um servidor, digite o endereço do sistema. O restante da caixa de diálogo é igual à caixa de diálogo Servidor.

Relógio controlado pelo rádio

Para usar um relógio controlado pelo rádio no seu sistema para a sincronização de horário, insira o tipo de relógio, o número da unidade, o nome do dispositivo e outras opções nesta caixa de diálogo. Clique em Calibração do Driver para ajustar o driver. Informações detalhadas sobre a operação de um rádio relógio local estão disponíveis em /usr/share/doc/packages/ntp-doc/html/refclock.htm.

Transmissão de saída

Consultas e informações sobre horário também podem ser transmitidas na rede. Nesta caixa de diálogo, insira o endereço ao qual estas transmissões devem ser enviadas. Não ative a transmissão a menos que você tenha uma fonte de horário confiável como um relógio controlado por rádio.

Transmissão de entrada

Se você deseja que o seu cliente receba suas informações através de transmissão, insira o endereço do qual os respectivos pacotes devem ser aceitos nestes campos.

Figura 24.2. Configuração NTP Avançada: Configurações de Segurança¶

Na guia Configurações de Segurança (veja a Figura 24.2, “Configuração NTP Avançada: Configurações de Segurança”), determine se o ntpd deve ser iniciado em um chroot jail. Por padrão, a opção Executar Daemon NTP em Chroot Jail está ativada. Isso aumenta a segurança em caso de ataque ao ntpd, já que impede o invasor de comprometer todo o sistema.

Restringir Serviço NTP Apenas aos Servidores Configurados aumenta a segurança do seu sistema ao não permitir que os computadores remotos vejam e modifiquem as configurações de NTP do seu computador e que usem o recurso de detecção para o registro de eventos remotos. Uma vez habilitadas, essas restrições se aplicam a todos os computadores remotos, a menos que você anule as opções de controle de acesso para computadores individuais na lista de fontes de horário na guia Configurações Gerais. Para todos os outros computadores remotos, só é permitida a consulta de horário local.

Habilite Abrir Porta no Firewall se o SuSEfirewall2 estiver ativo (ele fica ativo por padrão). Se você manter a porta fechada, não será possível estabelecer uma conexão com o servidor de horário.

24.2. Configurando manualmente o NTP na rede¶

A forma mais fácil de usar um servidor de horário na rede é definir parâmetros de servidor. Por exemplo, se um servidor de horário denominado ntp.example.com for alcançável a partir da rede, inclua seu nome no arquivo /etc/ntp.conf adicionando a seguinte linha:

server ntp.example.com

Para adicionar mais servidores de horário, insira linhas adicionais com a palavra-chave server. Após inicializar o ntpd com o comando rcntp start, leva cerca de uma hora para estabilizar o horário e criar o arquivo drift que corrige o relógio do computador local. Com o arquivo de descompasso, o erro sistemático do relógio do hardware pode ser computado assim que o computador for ligado. A correção é usada imediatamente, resultando em uma estabilidade maior do horário do sistema.

Há duas maneiras possíveis de usar o mecanismo NTP como cliente: primeiro, o cliente pode consultar o horário a partir de um servidor conhecido em intervalos regulares. Com vários clientes, esta abordagem pode causar uma carga alta no servidor. Segundo, o cliente pode esperar por transmissões de NTP enviadas por servidores de horário de transmissão na rede. Esta abordagem tem a desvantagem de que a qualidade do servidor é desconhecida e um servidor transmitindo a informação errada pode causar problemas graves.

Se o horário for obtido através de uma transmissão, você não precisará do nome do servidor. Neste caso, insira a linha broadcastclient no arquivo de configuração /etc/ntp.conf. Para usar um ou mais servidores de horário conhecidos exclusivamente, insira seus nomes na linha iniciando com servers.

24.3. Sincronização de horário dinâmica em tempo de execução¶

Se o sistema for inicializado sem conexão de rede, o ntpd será iniciado, mas não conseguirá resolver os nomes DNS dos servidores de horário definidos no arquivo de configuração. Isso pode ocorrer se você usar o Gerenciador de Rede com uma WLAN criptografada.

Para que o ntpd resolva os nomes DNS em tempo de execução, defina a opção dynamic. Em seguida, quando a rede é estabelecida algum tempo após a inicialização, o ntpd procura os nomes novamente e acessa os servidores de horário para capturar a hora.

Edite manualmente o /etc/ntp.conf e adicione dynamic a uma ou mais entradas server:

server ntp.example.com dynamic

Ou use o YaST e proceda da seguinte maneira:

No YaST, clique em Serviços de Rede+Configuração NTP.
Selecione o servidor que deseja configurar. Em seguida, clique em Editar.
Ative o campo Opções e adicione dynamic. Separe-o por um espaço, se já houver outras opções digitadas.
Clique em OK para fechar a caixa de diálogo de edição. Repita a etapa anterior para mudar todos os servidores conforme desejado.
Por fim, clique em OK para gravar as configurações.

24.4. Configurando um relógio de referência local¶

O pacote de software ntpd inclui drivers para conexão de relógios locais de referência. Uma lista de relógios suportados está disponível no pacote ntp-doc no arquivo /usr/share/doc/packages/ntp-doc/html/refclock.htm. Cada driver está associado a um número. No NTP, a configuração real é feita por pseudos endereços IP. Os relógios são inseridos no arquivo /etc/ntp.conf como se existissem na rede. Para este propósito, endereços IP especiais são atribuídos a eles no formato 127.127.t.u. Aqui, t representa o tipo de relógio e determina o driver a ser usado e u representa a unidade, que determina a interface usada.

Normalmente, os drivers individuais têm parâmetros especiais que descrevem detalhes de configuração. O arquivo /usr/share/doc/packages/ntp-doc/drivers/driverNN.html (onde NN é o número do driver) fornece informações sobre o tipo específico de relógio. Por exemplo, o relógio “type 8” (relógio controlado por rádio na interface serial) exige um modo adicional que especifica o relógio de forma mais precisa. O módulo de recebimento Conrad DCF77, por exemplo, tem o modo 5. Para usar este relógio como referência preferida, especifique a palavra-chave prefer. A linha do servidor completa para um módulo de recebimento Conrad DCF77 seria:

server 127.127.8.0 mode 5 prefer

Outros relógios seguem o mesmo padrão. Após a instalação do pacote ntp-doc, a documentação do NTP fica disponível no diretório /usr/share/doc/packages/ntp-doc. O arquivo /usr/share/doc/packages/ntp-doc/refclock.html fornece links para as páginas que descrevem os parâmetros do driver.