NTP Autokey IFF não funciona como esperado

A) ARQUITETURA ALVO

Temos um projeto em que a arquitetura de sincronização de tempo do NTP de destino é a seguinte:

• Servidores da Stratum 1 fornecidos pelo cliente.
• Servidores Stratum 2: dispositivos Spectracom SecureSync fornecidos por nós.
• Estrato 3: máquinas do usuário final.

Toda a sincronização NTP deve ser autenticada usando o Autokey IFF.

B) CONFIGURAÇÃO DO LABORATÓRIO DE TESTE

Em nosso laboratório, simulamos a arquitetura de destino com as três máquinas a seguir:

• Servidor 1 da Stratum "vm-centos7-srv": CentOS 7 VM com o ntpd 2.4.6, usando o relógio local como referência.
• Servidor "Strpsum 2" ntpsrv ": appliance Spectracom SecureSync 1200.
• Cliente da Stratum 3 "vm-centos7-cli": VM do CentOS 7 com ntpd 2.4.6.

Na terminologia Autokey, as máquinas têm as seguintes funções:

• vm-centos7-srv: servidor e host confiável (TH) - > gera a chave do grupo IFF.
• ntpsrv: server (não TH) - > tem uma cópia da chave do grupo IFF "vm-centos7-srv".
• vm-centos7-cli: cliente - > tem uma cópia dos parâmetros públicos IFF "vm-centos7-srv".

As máquinas são sincronizadas corretamente e não relatam erros. No entanto, "vm-centos7-cli" não tem o sinalizador IFF definido, ou seja, tem "sinalizadores = 0x87f03" em vez do esperado "sinalizadores = 0x87f23".

Além disso, se excluirmos todas as chaves (host e grupo) em "vm-centos7-srv", gerar tudo novamente e reiniciar o ntpd, as outras máquinas continuarão a sincronizar, autenticar e confiar nesse host. Isso significa que a autenticação Autokey é inútil, já que qualquer servidor não autorizado pode representar uma máquina de estrato 1.

C) ARQUITETURA SIMPLIFICADA

Ao simplificar a configuração sincronizando "vm-centos7-cli" diretamente com "vm-centos7-srv", o sinalizador IFF é definido em "vm-centos7-cli". As bandeiras se tornam 0x417f21 (não sei porque o prefixo é diferente, 41 em vez de 8). No entanto, neste caso, mesmo quando o arquivo de parâmetros do grupo é excluído do cliente e o ntpd é reiniciado, os sinalizadores permanecem os mesmos, embora o IFF não deva funcionar.

A configuração de ambas as VMs do CentOS 7 foi feita de acordo com a página oficial do ntpd: link

A opção "-c RSA-SHA1" foi adicionada aos comandos ntp-keygen.

D) PERGUNTAS

• A arquitetura de destino (isto é, 1 grupo IFF com TH / server / client) é viável?
• Na arquitetura completa, por que o cliente não consegue concluir a autenticação do IFF?
• Por que o servidor não-TH ainda autentica e sincroniza quando as chaves foram alteradas no TH?
• Na arquitetura simplificada, por que o cliente tem o bit IFF ativado mesmo quando ele não tem os parâmetros do grupo IFF configurados?
• Qual é o significado dos primeiros dígitos nas bandeiras? Apenas os 4 últimos dígitos são documentados, não o primeiro 1 ou 2.

Desculpe por este mural de texto e agradecemos antecipadamente por qualquer informação e ajuda.