摘要
NTP(网络时间协议)机制是用于同步网络上的系统时间的协议。 首先,计算机从作为可靠时间源的服务器获得时间。 然后将此计算机用作网络中其他计算机的时间源。 这样做有双重目的:既可维护绝对时间,又可保持网络中所有计算机系统时间的同步。
维护确切的系统时间在许多情况下都非常重要。 内置硬件 (BIOS) 时钟往往不能满足数据库这样的应用程序的要求。 手动更正系统时间可能会导致许多严重问题,例如向后调整时间将使关键应用程序出现故障。 在网络中,通常需要同步所有计算机上的系统时间,但是手动调整时间是一种不好的方法。ntp 提供了解决这些问题的机制。该机制随时借助网络中的可靠时间服务器调整系统时间。 它还支持对本地参考时钟(如无线电控制的时钟)进行管理。
![[Note]](admon/note.png) | |
要通过 Active Directory 启用时间同步,请遵循过程 5.1, “Joining an AD Domain” (↑安全指南)中的描述。 | |
ntp 已预先设置为以本地计算机时钟为时间参考。但是,只有在没有更精确的时间源的情况下才使用 (BIOS) 时钟最为替代。 YaST 为 NTP 客户机的配置提供方便。对于不运行防火墙的系统,请使用快速或高级配置。对于受到防火墙保护的系统,高级配置可能打开 SuSEfirewall2 中需要的端口。
您可手动或自动配置 NTP 客户端以通过 DHCP 获取网络中可用 NTP 服务器的列表。如果选择,则无法使用以下所述的手动选项。
供客户端查询的服务器和其他时间资源列在选项卡的下半部分。使用、和可按需修改此列表。 使您能够查看客户机的日志文件。
单击可添加新的时间信息源。 在随后的对话框中,选择要与其进行时间同步的源类型。 下列选项可用:
- 服务器
另一个对话框使您可以选择 NTP 服务器。激活,可以在引导系统时触发服务器和客户机之间的时间信息同步。 使您可以指定 ntpd 的其他选项。
使用,您可限制远程计算机通过您的计算机上运行的守护程序所能执行的操作。仅在选中选项卡上的后,才能启用此字段。选项对应于
/etc/ntp.conf中的restrict子句。例如,nomodify notrap noquery禁止服务器修改计算机的 NTP 设置并禁止使用 NTP 守护程序的陷阱工具(一种远程事件记录功能)。建议将这些限制用于超出您控制范围的服务器(例如在因特网上)。有关详细信息,请参见
/usr/share/doc/packages/ntp-doc(ntp-doc包的一部分)。- 同级
同级是一台要与其建立对称关系的计算机:它将同时用作时间服务器和客户机。 要在同一网络中用同级代替某个服务器,请输入系统的地址。 该对话框的其他部分与对话框相同。
- 无线电时钟
要在系统中使用无线电时钟来同步时间,请在此对话框中输入时钟类型、单元号码、设备名和其他选项。 单击可对该驱动程序进行微调。 有关本地无线电时钟如何操作的详细信息,请参见
/usr/share/doc/packages/ntp-doc/refclock.html。- 发出的广播
也可以通过在网络内广播的方式来传送时间信息和查询。 在此对话框中,输入应将这类广播信息发送到的地址。 除非使用了像无线电控制的时钟这样的可靠时间源,否则不要激活广播。
- 进来的广播
如果希望客户机通过广播接收信息,请在此字段中输入应接受来自哪个地址的相应数据包。
在选项卡中,确定 ntpd 是否应在 chroot jail 中启动。默认情况下,是被激活的。 这可以在遭受通过 ntpd 发起的攻击时提高安全性,因为这种方式可以防止攻击者危害整个系统。
通过禁止远程计算机查看和修改您计算机的 NTP 设置以及禁止使用用于远程事件记录的陷阱工具,从而增强了系统的安全性。一旦启用,这些限制将适用于所有远程计算机,除非您在选项卡中针对时间源列表中的个别计算机覆盖了访问控制选项。对于所有其他远程计算机,仅允许查询本地时间。
如果 SuSEfirewall2 处于活动状态(默认),请启用。如果保持端口的关闭状态,则不可能建立与事件服务器的连接。