Temos um projeto em que a arquitetura de sincronização de tempo do NTP de destino é a seguinte:
Toda a sincronização NTP deve ser autenticada usando o Autokey IFF.
Em nosso laboratório, simulamos a arquitetura de destino com as três máquinas a seguir:
Na terminologia Autokey, as máquinas têm as seguintes funções:
As máquinas são sincronizadas corretamente e não relatam erros. No entanto, "vm-centos7-cli" não tem o sinalizador IFF definido, ou seja, tem "sinalizadores = 0x87f03" em vez do esperado "sinalizadores = 0x87f23".
Além disso, se excluirmos todas as chaves (host e grupo) em "vm-centos7-srv", gerar tudo novamente e reiniciar o ntpd, as outras máquinas continuarão a sincronizar, autenticar e confiar nesse host. Isso significa que a autenticação Autokey é inútil, já que qualquer servidor não autorizado pode representar uma máquina de estrato 1.
Ao simplificar a configuração sincronizando "vm-centos7-cli" diretamente com "vm-centos7-srv", o sinalizador IFF é definido em "vm-centos7-cli". As bandeiras se tornam 0x417f21 (não sei porque o prefixo é diferente, 41 em vez de 8). No entanto, neste caso, mesmo quando o arquivo de parâmetros do grupo é excluído do cliente e o ntpd é reiniciado, os sinalizadores permanecem os mesmos, embora o IFF não deva funcionar.
A configuração de ambas as VMs do CentOS 7 foi feita de acordo com a página oficial do ntpd: link
A opção "-c RSA-SHA1" foi adicionada aos comandos ntp-keygen.
Desculpe por este mural de texto e agradecemos antecipadamente por qualquer informação e ajuda.