Sun Enterprise Authentication Mechanism Handbuch

Synchronisieren der Uhren zwischen KDCs und SEAM-Clients

Alle Hosts, die am Kerberos-Authentisierungssystem teilnehmen, müssen ihre Systemuhren innerhalb eines festgelegten, maximalen Zeitbereichs (auch Zeitabweichung genannt) synchron halten, wodurch eine weitere Kerberos-Sicherheitsprüfung gegeben ist. Wenn die Zeitabweichung bei einem der teilnehmenden Hosts überschritten wird, dann werden Client-Anforderungen zurückgewiesen.

Die zulässige Zeitabweichung bestimmt auch, wie lange Anwendungsserver die Kerberos-Protokollnachrichten überwachen müssen, um so das Abspielen von zwischengespeicherten Anforderungen erkennen und zurückweisen zu können. Daher müssen die Anwendungsserver umso mehr Informationen sammeln, je länger der Wert für die Zeitabweichung ist.

Der Standardwert für die maximal zulässige Zeitabweichung der Uhren beträgt 300 Sekunden (fünf Minuten), was Sie im Abschnitt libdefaults der Datei krb5.conf ändern können.


Hinweis -

Aus Sicherheitsgründen sollten Sie die zulässige Zeitabweichung nicht über 300 Sekunden hinaus erhöhen.


Da das Aufrechterhalten synchronisierter Systemuhren zwischen KDCs und SEAM-Clients wichtig ist, wird empfohlen, daß Sie die Software Network Time Protocol (NTP) zu diesem Zweck verwenden. Network Time Protocol (NTP) ist eine "public domain"-Software der University of Delaware und ab Version Solaris 2.6 Bestandteil der Solaris-Software.


Hinweis -

Eine andere Möglichkeit, die Uhren zu synchronisieren, liegt in der Verwendung des Befehls rdate und der cron-Jobs, was ein weniger aufwendiger Prozeß sein kann als die Verwendung von NTP. Dieser Abschnitt wird jedoch weiterhin die Verwendung von NTP in den Vordergrund stellen. Außerdem muß im Fall, daß Sie die Systemuhren über das Netzwerk synchronisieren, das Synchronisationsprotokoll selbst sicher sein.


NTP ermöglicht Ihnen die präzise Zeit- bzw. Netzwerkuhr-Synchronisation in einer Netzwerkumgebung. Grundsätzlich ist NTP eine Server/Client-Implementierung. Sie wählen ein System als Master-Uhr (NTP-Server) aus und richten dann alle anderen Systeme so ein, daß sie ihre Uhren mit der Master-Uhr synchronisieren (NTP-Clients). Das alles geschieht über den Daemon xntpd, der eine UNIX-Systemtageszeit in Übereinstimmung mit den Standard-Zeitservern im Internet festlegt und aufrecht erhält. Abbildung 3-1 zeigt ein Beispiel für die Verwendung der Server/Client-Implementierung von NTP.

Abbildung 3-1 Synchronisieren von Uhren mithilfe von NTP

Graphic

Um sicherzustellen, daß KDCs und SEAM-Clients synchronisierte Uhren haben, implementieren Sie die folgenden Schritte:

  1. Richten Sie in Ihrem Netzwerk einen NTP-Server ein (das kann jedes System sein, ausgenommen das Master-KDC). (Siehe "So richten Sie einen NTP-Server ein".)

  2. Wenn Sie die KDCs und SEAM-Clients im Netzwerk konfigurieren, richten Sie diese als NTP-Clients auf dem NTP-Server ein. (Siehe "So richten Sie einen NTP-Client ein".)

So richten Sie einen NTP-Server ein

  1. Melden Sie sich auf dem NTP-Server als Superuser an.

  2. Wechseln Sie zum Verzeichnis /etc/inet.

  3. Kopieren Sie die Datei ntp.server in die Datei ntp.conf.


    # cp ntp.server ntp.conf
    
  4. Wechseln Sie zum Verzeichnis /etc/init.d.

  5. Starten Sie den Daemon xntpd.


    # ./xntpd start
    

So richten Sie einen NTP-Client ein

  1. Melden Sie sich als Superuser auf dem System an, das ein NTP-Client werden soll.

  2. Wechseln Sie zum Verzeichnis /etc/inet.

  3. Kopieren Sie die Datei ntp.client in die Datei ntp.conf.


    # cp ntp.client ntp.conf
    
  4. Wechseln Sie zum Verzeichnis /etc/init.d.

  5. Starten Sie den Daemon xntpd.


    # ./xntpd start