PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : NTP Server mit Authentifizierung



pavlovski
19.08.09, 18:39
Hallo zusammen,

ein NTP server aufsetzen ist zum Glück nicht das Problem. Auch ein Client mit ein Key authentifizieren lassen geht einwandfrei.
Allerdings, wenn ich in der Serverkonfiguration mehr als 19 trusted keys gelistet habe will sich der Server nicht mehr starten. Der dmesg Output fällt mir auf:



$ sudo dmesg
...
[92737.488120] ntpd[17132]: segfault at 0 ip 0804cd3e sp bfda5b90 error 4 in ntpd[8048000+61000]


Kennt ihr das Problem, oder gehe ich falsch an das Thema ran? Ist es überhaupt möglich, dass jeder Client sich mit ein eigenen Key authentifiziert?



$ cat /etc/ntp.conf
# /etc/ntp.conf, configuration for ntpd; see ntp.conf(5) for help

driftfile /var/lib/ntp/ntp.drift

logfile /var/log/ntp.log

# Enable this if you want statistics to be logged.
#statsdir /var/log/ntpstats/

#statistics loopstats peerstats clockstats
#filegen loopstats file loopstats type day enable
#filegen peerstats file peerstats type day enable
#filegen clockstats file clockstats type day enable

# You do need to talk to an NTP server or two (or three).
server ptbtime1.ptb.de iburst
server ptbtime2.ptb.de iburst
server ptbtime3.ptb.de iburst

# pool.ntp.org maps to about 1000 low-stratum NTP servers. Your server will
# pick a different set every time it starts up. Please consider joining the
# pool: <http://www.pool.ntp.org/join.html>
#server 0.debian.pool.ntp.org iburst dynamic
#server 1.debian.pool.ntp.org iburst dynamic
#server 2.debian.pool.ntp.org iburst dynamic
#server 3.debian.pool.ntp.org iburst dynamic


# Access control configuration; see /usr/share/doc/ntp-doc/html/accopt.html for
# details. The web page <http://support.ntp.org/bin/view/Support/AccessRestrictions>
# might also be helpful.
#
# Note that "restrict" applies to both servers and clients, so a configuration
# that might be intended to block requests from certain clients could also end
# up blocking replies from your own upstream servers.

# By default, exchange time with everybody, but don't allow configuration.
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery

# Local users may interrogate the ntp server more closely.
restrict 127.0.0.1
restrict ::1

# Clients from this (example!) subnet have unlimited access, but only if
# cryptographically authenticated.
restrict 172.0.0.0 mask 255.255.255.0

# If you want to provide time to your local subnet, change the next line.
# (Again, the address is an example only.)
#broadcast 192.168.123.255

# If you want to listen to time broadcasts on your local subnet, de-comment the
# next lines. Please do this only if you trust everybody on the network!
#disable auth
#broadcastclient

keys /etc/ntp.keys

trustedkey 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20


Ich setze auf Debian Lenny:



$ uname -a
Linux srv-os01-ntp01 2.6.26-2-686 #1 SMP Sun Jun 21 04:57:38 UTC 2009 i686 GNU/Linux


Hoffentlich habt ihr für mich eine Antwort.

Schöne Grüße,

Pavlovski

Stormbringer
19.08.09, 19:00
Nur als Anmerkung: nimm lieber den offiziellen de-pool für die Serverlistung ... dann haben die Braunschweiger auch weniger traffic: de.pool.ntp.org

pavlovski
20.08.09, 14:29
Hat jemand somst eine Idee wie die Authentificierung in größere Netzwerke gemacht wird, oder handelt es sich hier um ein Bug?

MiGo
24.08.09, 10:52
Hat jemand somst eine Idee wie die Authentificierung in größere Netzwerke gemacht wird, oder handelt es sich hier um ein Bug?
Naja, wenn der ntpd segfaultet (-> Absturz; Segfault entspricht ungefähr der "Allgemeinen Schutzverletzung" in Windows) dann ists wohl ein Bug.