Univention Bugzilla – Bug 24953
Signed NTP (MS-SNTP) konfigurierbar machen für Samba4 Domänenmitglieder
Last modified: 2024-03-14 16:57:14 CET
Mit Samba4/AD Domänenfunktionalität wird Zeitsynchronisation zwischen DCs und Clients zu einer kritischen Voraussetzung. Andererseits fällt auf Windows7 Clients fällt z.B. auf, dass auf einem in die Domäne gejointes System der Tab "Internet Time" nicht mehr angezeigt wird, auf dem man sonst NTP-Server konfigurieren kann. Das liegt daran, dass Windows 7 in diesem Fall automatisch "NT5DS" statt NTP verwendet. Wenn man dann auf der Console w32tm /resync /rediscover aufruft, erhält man allerdings die Meldung "keine Zeitdaten verfügbar". Das liegt daran, dass unser NTP-Server noch nicht für signed-NTP konfiguriert ist. Wir haben hier das Glück, dass die NTP-Version aus squeeze das schon unterstützt. Aktivieren lässt sich das durch folgende zusätzliche Zeilen in der /etc/ntp.conf: ntpsigndsocket /var/run/samba/ntp_signd restrict default mssntp Beim Neustart des ntpd sieht man dann im Sysog die Meldung ntpd[30321]: MS-SNTP signd operations currently block ntpd degrading service to all clients. Diese Meldung warnt davor, dass die Funktion des NTP-Dienstes durch die neue Option von der Funktion des Samba4-Dienstes abhängig geworden ist: Wenn dieser nicht auf dem Socket antwortet, dann blockt auch der NTP-Dienst. Nach testweiser Aktivierung des NTP-signing auf dem Anmeldeserver des Windows7-Clients verlief dann das w32tm /resync /rediscover erfolgreich. Note: Alternativ zu NT5DS können die Windows-Clients auch auf die Verwendung eines bestimmten NTP-Servers konfiguriert werden. Allerdings scheinen sie auch dort signed NTP zu erwarten. Note: Um die Zeit dennoch einmalig manuell zu synchronisieren kann man z.B. net time /domain /set /y aufrufen.
Workaround: Wenn explizit ein NTP-Server konfiguriert ist (statt NT5DS), dann werden unauthentisierte NTP-Pakete vom Client akzeptiert ( http://technet.microsoft.com/de-de/library/cc773013%28WS.10%29.aspx#w2k3tr_times_how_ekoc ). Diese Einstellungen lassen sich per GPO vorgeben: http://technet.microsoft.com/en-us/library/cc773263%28WS.10%29.aspx#w2k3tr_times_tools_vwtt
Created attachment 4151 [details] Die Template-Anpassung für ntp.conf
Die Anpassung ist in ucs3.0-1 eingebaut. \item The new \ucsUCRV{ntp/signed} offers the option to configure the \ucsName{time} service (NTP) to issue signed NTP packages (\ucsBug{24953}).
Funktioniert. Sowohl das automatische Setzen der Zeit nach dem Joinen / Booten unter Windows, als auch das Synchronisieren der Zeit auf einem UCS Slave.
UCS 3.0-1 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS erneut auftreten, so sollte dieser Bug dupliziert werden: "Clone This Bug"