Meinberg SHSPZF LANTIME Benutzerhandbuch
Seite 72
Die verwendeten Public Keys können auf den Trusted Hosts der Gruppe periodisch
manuell neu erzeugt werden (das ist sowohl im Webinterface als auch über das CLI-
Setupprogramm möglich, über den Punkt „Generate new NTP public key“ im Bereich
„NTP Autokey“ auf der Seite „Security Management“) und damit dann automatisch
an alle anderen Mitglieder der Gruppe verteilt werden. Der Gruppenschlüssel bleibt
gleich und somit entfällt das manuelle Update von Schlüsseln für alle
Gruppenmitglieder.
Ein Lantime kann in einer solchen Autokey-Gruppe sowohl TA und Trusted Host als
auch einfacher Host sein.
Um den Lantime als TA und Trusted Host zu konfigurieren, schalten Sie das
Autokey-Verfahren ein und initialisieren Sie per HTTPS-Webinterface den
Gruppenschlüssel („Generate groupkey“). Dafür ist ein Crypto-Passwort nötig, das
Sie ebenfalls im Webinterface ändern können. Den so erzeugten Gruppenschlüssel
müssen Sie dann vom Lantime herunterladen (z.B. über das HTTPS-Webinterface)
und dann auf alle Clients und weiteren NTP Server der Gruppe kopieren (und diese
Systeme ebenfalls für die Verwendung von Autokey konfigurieren).
Die ntp.conf aller Gruppenmitglieder muss folgende Zeilen enthalten:
crypto pw cryptosecret
keysdir /etc/ntp/
Dabei ist „cryptosecret“ in diesem Fall das Crypto-Passwort, das zum Erstellen des
Group Keys und aller Public Keys verwendet wurde. Bitte beachten Sie, dass das
Crypto-Passwort im Klartext in der ntp.conf steht und somit auf Nicht-Lantime-
Systemen sichergestellt sein sollte, dass nur „root“ diese Datei einsehen kann.
Die Clients müssen zusätzlich noch den Eintrag der verwendeten NTP-Server
ergänzen, um eine Nutzung von Autokey in Verbindung mit diesen Servern
einzuschalten. Das sieht z.B. so aus:
server time.meinberg.de autokey version 4
server time2.meinberg.de
In diesem Beispiel wird der NTP Server time.meinberg.de mit Autokey verwendet,
während time2.meinberg.de ohne jegliche Überprüfung der Echtheit der Zeit
akzeptiert wird.
Möchten Sie den Lantime zwar als Trusted Host verwenden, aber eine andere TA
nutzen, dann erzeugen Sie mithilfe dieser Trusted Authority einen Gruppenschlüssel
und binden ihn z.B. mithilfe des Webinterfaces auf Ihrem Lantime ein (auf Seite
„Security Management“ im Bereich „NTP autokey“ den Menüpunkt „Upload
groupkey“).
Wenn Sie den Lantime als einfachen NTP Server (nicht „trusted“) verwenden
möchten, dann müssen Sie den Gruppenschlüssel Ihrer Gruppe hochladen („Security
Management“ / “NTP autokey“ / “Upload groupkey“) und ein eigenes,
selbstsigniertes Zertifkat erzeugen (ohne es als „Trusted“ zu markieren). Da beim
Generieren eines Zertifikats über das Webinterface oder das CLI-Setupprogramm
grundsätzlich immer als „Trusted“ markierte Zertifikate erstellt werden, müssen Sie
72