Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

システム設定ページ(CTPView)を使用した NTP 認証の設定

NTP 認証により、NTP クライアントとして機能する CTP デバイスは、サーバーが既知であり、信頼されていることを確認できます。対称キー認証は、パケットの認証に使用されます。共有秘密鍵はクライアントとサーバーの間で既に通信されていることを前提としており、共有秘密鍵を構成ファイルおよび鍵ファイルで既に構成しておくのはサーバーの責任です。次に、クライアントは、CTPView または syscfg コマンドを使用して、必要な鍵 ID と共有秘密鍵を構成ファイルおよび鍵ファイルに追加します。NTP 認証を無効にするには、 Key ID CTPView で および Key Value フィールドを空白のままにする必要があります。

CTPView を使用して NTP 認証を設定するには、次の手順を実行します。

  1. サイド ウィンドウで、[> Configurationを選択しますSystem
    ヒント:

    または、サイド ペインで [ System > Query (System Query)] ページから NTP 認証のキー ID とキー値を指定することもできます。
  2. タブをクリックします Node Settings

    NTP 設定 ページが表示されます。CTP デバイスのホスト名と IP アドレスは、[NTP 設定(NTP Settings)] テーブルの左側に表示される [デバイス(Device)] テーブルの下に表示されます。

  3. 表 1 で説明されているパラメータを設定し、 をクリックしますSubmit Settings
  4. (オプション)> Configuration > Node Settings をクリックしてSystem、NTP 設定の詳細を確認します。
表 1: CTPView の [システム構成] ページの NTP サーバー認証設定
フィールド 関数 アクション

サーバー IP

NTP サーバーの IPv4 または IPV6 アドレスを指定します。

NTP サーバ(IP アドレスまたはホスト名)をサーバ リストに追加します。最大 2 つの NTP サーバを設定できます。NTP 認証はリストの最初のサーバから開始され、最初のサーバに障害が発生したり使用できなくなったりした場合は、リスト内の 2 番目のサーバが使用されます。

認証に使用する NTP サーバーの IPv4 または IPv6 アドレスを入力します。

キー ID

NTP クライアントがサーバーから受信した NTP パケットを認証するための鍵 ID を指定します。

関係するサーバーとクライアントは、NTPパケットを認証するためにキーとキー識別子に同意する必要があります。キーおよび関連情報は、キー ファイルで指定されます。キーIDは、ネットワーク経由で受信したデータの信頼性を証明するために使用されます。時刻の同期中、クライアントは「NTPクライアント」パケットでキーIDを要求し、サーバーは「NTPサーバー」パケットで応答を送信します。両方のパケットでキーIDが異なる場合、時刻は同期されません。この時刻は、2 つのキー ID が同じ場合にのみ、クライアントに対して同期および変更されます。秘密鍵を持つIPアドレスは、CTPデバイス上のNTP設定ファイル「/etc/ntp.conf」で設定されます。

次に、ntp.conf ファイルの例を示します。

'サーバー x.x.x.x キー 123'

どこ:

x.x.x.x は NTP サーバーの IP アドレスです。

キーは、クライアントとサーバーの両方で共有される秘密鍵IDです。

1 から 65534 の範囲の 32 ビット整数を入力します。

キー値

NTP サーバーと NTP クライアント間の NTP 認証に使用される NTP 鍵の値を指定します。

NTP は、キーを使用して認証を実装します。このキーは、クライアントとサーバー間でデータを交換するときに使用されます。次の 3 つのキーの種類があります。

  • A キーは、最大 8 文字の ASCII 文字のシーケンスです。

  • M キーは、最大 31 文字の ASCII 文字のシーケンスです。

  • S キーは 64 ビット値で、各バイトの下位ビットは奇数パリティです。

CTP デバイスは、NTP 認証用の M キー(MD5)をサポートします。すべてのキーは "/etc/ntp/keys" ファイルで定義する必要があります。

次に、キー ファイルの例を示します。

「123M峠」

どこ:

123 はキー ID (範囲 1 から 65534) です。

M は鍵タイプを指定します(M は MD5 暗号化を意味します)。

パスはキー自体を示します

キー値は、最大 31 文字の ASCII 文字のシーケンスとして入力します。

ステータス

CTP デバイスで NTP プロセスを有効にするか無効にするかを指定します。

次のいずれかを選択します。

  • [有効(Enabled)]:CTP デバイスで NTP プロセスを有効にします。

  • 無効 - CTP デバイスの NTP プロセスを無効にします。

システム構成 ページから RADIUS および TACACS+ 設定を行うこともできます。

CTPView ウェブインターフェイスからTACACS+ を設定するには、次の手順に従います。

  1. サイド ウィンドウで、[> Configurationを選択しますSystem

  2. [>TACACS+ Settings] タブをクリックしますNode Settings

    TACACS+ 設定 ページが表示されます。

  3. 表 2 で説明されているパラメータを設定し、 をクリックしますSubmit Settings

  4. (オプション)> Query >Node Settings をクリックしてSystem、TACACS+ 設定の詳細を確認します。

    表 2: CTPView Web インターフェイスでの TACACS+ 設定

    フィールド

    関数

    アクション

    ステータス

    TACACS+ を有効にするか無効にするかを指定します。

    TACACS+ はデフォルトで無効になっています。

    いずれかを選択します。

    • 有効

    • 無効

    宛先ポート

    TACACS+ は、データの送受信に TCP ポートを使用します。

    ポート49はTACACS+用に予約されており、デフォルトのポートです。

    宛先ポート番号を入力します。

    タイムアウト

    認証および許可要求を送信した後、TACACS+ クライアントが TACACS+ サーバーからの応答を待つ必要がある秒数。タイムアウト値は、設定されているすべてのTACACS+サーバーに適用されます。

    デフォルトのタイムアウト値は 5 秒です。

    値を指定します。

    オフライン・フェイルオーバー

    設定されたTACACS+サーバーが利用できない場合、またはTACACS+サーバーから応答を受信しない場合、ローカル認証資格情報を使用できます。

    デフォルトのオプションは Allowed to Loc Acctです。

    いずれかを選択します。

    • 許可されない

    • Allowed to Loc Acct

    拒否 - フェイルオーバー

    TACACS+ サーバーが認証の試行を拒否した場合、ローカル認証資格情報を使用できます。

    デフォルトのオプションは Allowed to Loc Acctです。

    いずれかを選択します。

    • 許可されない

    • Allowed to Loc Acct

    サーバー

    認証と許可用に、CTPOS および CTPView ユーザーにそれぞれ最大 10 の TACACS+ サーバーを設定できます。

    CTP は、リストの最初のサーバーからユーザーの認証を試みます。最初のサーバーが使用できない場合、または認証に失敗した場合は、リスト内の 2 番目のサーバーから認証を試みます。

    承認は、ユーザーを正常に認証したサーバー上で行われます。

    サーバーの IP アドレスを入力し、共有シークレットを指定します。

    共有シークレット

    共有秘密は、TACACS+ サーバーがサーバー間で送受信されるパケットの暗号化と復号化に使用する秘密キーです。TACACS+ クライアントは、同じ秘密鍵を使用してパケットの暗号化と復号化を行います。

    共有シークレットを指定します。

CTPView ウェブ インターフェイスから RADIUS を設定するには、次の手順に従います。

  1. サイド ウィンドウで、[> Configurationを選択しますSystem

  2. [>RADIUS Settings] タブをクリックしますNode Settings

    RADIUS 設定 ページが表示されます。

  3. 表 3 で説明されているパラメータを設定し、 をクリックしますSubmit Settings

  4. (オプション)> Query >Node Settings をクリックしてSystem、RADIUS設定の詳細を確認します。

    表 3: CTPView Web インターフェイスの RADIUS 設定

    フィールド

    関数

    アクション

    ステータス

    RADIUS を有効にするか無効にするかを指定します。

    RADIUS はデフォルトで無効になっています。

    いずれかを選択します。

    • 有効

    • 無効

    宛先ポート

    RADIUS は、データの送受信に TCP ポートを使用します。

    ポート49はRADIUS用に予約されており、デフォルトのポートです。

    宛先ポート番号を入力します。

    タイムアウト

    認証および承認要求を送信した後、RADIUS クライアントが RADIUS サーバーからの応答を待つ必要がある秒数。タイムアウト値は、構成されているすべてのRADIUSサーバーに適用されます。

    デフォルトのタイムアウト値は 5 秒です。

    値を指定します。

    オフライン・フェイルオーバー

    ローカル認証資格情報は、構成された RADIUS サーバーが利用できない場合、または RADIUS サーバーから応答を受信しない場合に使用できます。

    デフォルトのオプションは Allowed to Loc Acctです。

    いずれかを選択します。

    • 許可されない

    • Allowed to Loc Acct

    拒否 - フェイルオーバー

    RADIUS サーバーが認証の試行を拒否した場合、ローカル認証資格情報を使用できます。

    デフォルトのオプションは Allowed to Loc Acctです。

    いずれかを選択します。

    • 許可されない

    • Allowed to Loc Acct

    サーバー

    認証と許可用に、CTPOS および CTPView ユーザーに対して、それぞれ最大 10 台の RADIUS サーバーを設定できます。

    CTP は、リストの最初のサーバーからユーザーの認証を試みます。最初のサーバーが使用できない場合、または認証に失敗した場合は、リスト内の 2 番目のサーバーから認証を試みます。

    承認は、ユーザーを正常に認証したサーバー上で行われます。

    サーバーの IP アドレスを入力し、共有シークレットを指定します。

    共有シークレット

    共有シークレットは、RADIUSサーバーがサーバー間で送受信されるパケットの暗号化と復号化に使用する秘密鍵です。RADIUSクライアントは、パケットの暗号化と復号化に同じ秘密鍵を使用します。

    共有シークレットを指定します。