ConfiguracinyusodeNTP.

Autor:JoelBarriosDueas
Correoelectrnico:darkshramengmailpuntocom
SitiodeRed:http://www.alcancelibre.org/
JabberID:darkshram@jabber.org
CreativeCommonsReconocimientoNoComercialCompartirIgual2.1
19992012JoelBarriosDueas.Ustedeslibredecopiar,distribuirycomunicarpblicamentelaobrayhacer
obras derivadas bajo las condiciones siguientes: a) Debe reconocer y citar al autor original. b) No puede
utilizar esta obra para fines comerciales (incluyendo su publicacin, a travs de cualquier medio, por
entidades con fines de lucro). c) Si altera o transforma esta obra o genera una obra derivada, slo puede
distribuirlaobrageneradabajounalicenciaidnticaasta.Alreutilizarodistribuirlaobra,tienequedejar
bienclarolostrminosdelalicenciadeestaobra.Algunadeestascondicionespuedenoaplicarsesiseobtiene
elpermisodeltitulardelosderechosdeautor.Losderechosderivadosdeusoslegtimosuotraslimitaciones
no se ven afectados por lo anterior. Licencia completa en castellano. La informacin contenida en este
documento y los derivados de ste se proporcionan tal cual son y los autores no asumirn responsabilidad
algunasielusuarioolector,hacemalusodestos.

Introduccin.
AcercadeNTP.
NTP(NetworkTimeProtocol)esunprotocolodeentrelosmsantiguos
protocolosdeInternet(1985)utilizadoparalasincronizacinderelojesde
sistemascomputacionalesatravsderedes,haciendousodeintercambiode
paquetes(unidadesdeinformacintransportadasentrenodosatravsde
enlacesdedatoscompartidos)ylatenciavariable(tiempodedemoraentre
elmomentoenquealgoiniciayelmomentoenquesuefectoinicia).NTP
fueoriginalmentediseadoysiguesiendomantenidoporDaveMills,de
launiversidaddeDelaware.
NTPutilizaelalgoritmodeMarzullo(inventadoporKeithMarzullo),elcual
sirveparaseleccionarfuentesdeorigenparalaestimacinexactadeltiempo
apartirdeunnmerodeterminadodefuentesdeorigendesordenadas,
utilizandolaescalaUTC.
Laversin4delprotocolopuedemantenereltiempoconunmargende10
milisegundosatravsdelaredmundial,alcanzadoexactitudde200
microsegundos.Enredeslocales,bajocondicionesidneas,estemargense
puedereducirconsiderablemente.
Elprotocolotrabajaatravsdelpuerto123,nicamenteatravsdeUDP.
URL:http://www.ietf.org/rfc/rfc1305.txt
Estratos.
NTPutilizaelsistemajerrquicodeestratosdereloj.
Estrato0:sondispositivos,comorelojesGPSoradiorelojes,quecarecen

deconectividadhaciaredes.Sloestnconectadosacomputadorasqueson
lasencargadasdedistribuirlosdatos.
Estrato1:Lossistemassesincronizancondispositivosdelestrato0.Los
sistemasdeesteestratosonreferidoscomoservidoresdetiempo.
Estrato2:LossistemasenvansuspeticionesNTPhaciaservidoresdel
estrato1,utilizandoelalgoritmodeMarzullopararecabarlasmejores
muestradedatos,descartandoqueparezcanproveerdatoserrneosy
compartiendodatosconsistemasdelmismoestrato2.Lossistemasdeeste
estratoactancomoservidoresparaelestrato3.
Estrato3:Lossistemasutilizanfuncionessimilaresalasdelestrato2,
sirviendocomoservidoresparaelestrato4.
Estrato4:Lossistemasutilizanfuncionessimilaresalasdelestrato3.
Listadeservidorespblicos,deestrato1y2,enhttp://kopernix.com/?
q=ntpyhttp://www.eecis.udel.edu/~mills/ntp/servers.html

AcercadeUTC.
UTC(CoordinatedUniversalTimeoTiempoUniversalCoordinado)esun
estndardealtaprecisindetiempoatmico.Tienesegundosuniformes
definidosporTAI(TiempoAtmicoInternacionaloInternationalAtomic
Time),consegundosintercalaresoadicionalesqueseanuncianaintervalos
irregularesparacompensarladesaceleracindelarotacindelplaneta
Tierra,ascomootrasdiscrepancias.Estossegundosadicionalespermitena
UTCestarcasialapardelTiempoUniversal(UToUniversalTime),elcual
esotroestndarperobasadosobreelnguloderotacindelaTierra,en
lugardeelpasouniformedelossegundos.
URL:http://es.wikipedia.org/wiki/UTC

Equipamientolgiconecesario.
EnCentOS,FedorayRedHatEnterpriseLinux.
Ejecutelosiguienteparainstalaroactualizartodonecesario:
yumyinstallntpntpdate

EnopenSUSEySUSELinuxEnterprise.
Ejecutelosiguienteparainstalaroactualizartodonecesario:
yastintp

Modificacionesnecesariasenelmuro
cortafuegos.
Esnecesarioabrirelaccesohaciaelpuerto123sloporUDP(NTP).

EnCentOS,FedorayRedHatEnterpriseLinux.
Systemconfigfirewall.
Ejecutelosiguientesiutilizaelmurocortafuegospredeterminadodel
sistema:
systemconfigfirewall

Yhabiliteelaccesoalpuerto123porUDPyapliqueloscambios.

Herramientasystemconfigfirewallhabilitandoelpuerto123porUDP.
Servicioiptables.
Ejecutelosiguiente:
iptablesAINPUTmstatestateNEWmudppudpdport123jACCEPT

Ejecutelosiguienteparaguardarloscambios:
serviceiptablessave

Obienediteelarchivo/etc/sysconfig/iptables:
vim/etc/sysconfig/iptables

Yaadaelsiguientecontenido:
AINPUTmstatestateNEWmudppudpdport123jACCEPT

Ejecutelosiguienteparaaplicarloscambios:
serviceiptablesrestart

Shorewall.
Editeelarchivo/etc/shorewall/rules:
vim/etc/shorewall/rules

Lasreglascorresponderaaalgosimilaralosiguiente,asumiendoqueslo
sevaapermitiralaredderealocalaccederalservidorNTPparapermitira
stossincronizarlahoradelsistema:
#ACTIONSOURCE DEST
#

ACCEPT loc
fw

PROTO DEST

PORT
udp
123

SOURCE
PORT(S)1

Sisevaapermitiralaredderealocalaccederhaciaservidoresdetiempo
localizadosenInternet,enlugardeutilizarunservidorenlamismaredde
realocal,esnecesarioutilizarlassiguientesreglas:
#ACTIONSOURCE DEST
#

ACCEPT loc
net

PROTO DEST

PORT
udp
123

SOURCE
PORT(S)1

Ejecutelosiguienteparaaplicarloscambios:
serviceshorewallrestart

EnopenSUSEySUSELinuxEnterprise.
Ejecuteyastconfirewallcomoargumento:

yastfirewall

YhabilitexntpServeroServidorxntp,segnseaelcasoobienabrael
puerto123porUDPyapliqueloscambios.

MdulodecortafuegosdeYaST,enmodotexto,habilitandoxntpServer.
ObienhagaclicenYaSTSeguridadyusuariosServiciosautorizadosy
activeServidorxntpyapliqueloscambios.

MdulodecortafuegosdeYaST,enmodogrfico,habilitandoservidorxntp.

Activar,iniciar,deteneryreiniciarelservicio.

EnCentOS,FedorayRedHatEnterpriseLinux.
Ejecutelosiguienteparaactivarelservicioentodoslosnivelesdeejecucin:
chkconfigntpdon

Ejecutelosiguienteparainiciarelservicioporprimeravez:
servicentpdstart

Ejecutelosiguienteparareiniciarelservicioyaplicarcambiosala
configuracin:
servicentpdrestart

Ejecutelosiguienteparadetenerelservicio:
servicentpdstop

EnopenSUSEySUSELinuxEnterprise.
Ejecutelosiguienteparaactivarelservicioentodoslosnivelesdeejecucin:
insservntp

Ejecutelosiguienteparainiciarelservicioporprimeravez:
rcntpstart

Ejecutelosiguienteparareiniciarelservicioyaplicarcambiosala
configuracin:
rcntprestart

Ejecutelosiguienteparadetenerelservicio:
rcntpstop

Procedimientos.

Herramientantpdate
Unaformamuysencilladesincronizarelrelojdelsistemaconcualquier
servidordetiempoesatravsdentpdate.Setratadeunaherramienta
similarardateyseutilizaparaestablecerlafechayhoradelsistema
utilizandoNTP.ElsiguienteejemplorealizaunaconsultadirectaNTP,
ejecutandontpdateconlaopcinu,paradefinirseutiliceunpuertosin
privilegios,haciaelservidor0.pool.ntp.org.
ntpdateu0.pool.ntp.org

Laopcinuseutilizacuandohayuncortafuegosqueimpidelasalidadesde
elpuerto123/UDPobiensielserviciontpestfuncionandoyutilizandoel
puerto123/UDP.
Elmanualcompletodentpdatepuedeconsultarseejecutandolosiguiente:
man8ntpdate

Archivodeconfiguracin/etc/ntp.conf.
Elmanualcompletoparaelformatodelarchivo/etc/ntp.confpuede
consultarseejecutandolosiguiente:
man5ntp.conf

EnCentOS,FedorayRedHatEnterpriseLinux.
LossistemasoperativoscomoCentOS,FedorayRedHatEnterprise
Linux,seincluyeunarchivodeconfiguracin/etc/ntp.conf,conuna
configuracinparausogeneralquepermitetrabajarcomoclienteNTP.Se
recomiendarespaldarsteparafuturasconsultasyutilizarunnuevoarchivo
ensulugar:
mv/etc/ntp.conf/etc/ntp.conf.original

Genereelnuevoarchivo/etc/ntp.confquepermitirfuncionarcomo
servidorNTPenlaredderealocal:
vim/etc/ntp.conf

Aadaelsiguientecontenidoymodifiqueloqueconsiderepertinente,como
seranlosvaloresresaltados:

#Seestablecelapolticapredeterminadaparacualquier
#servidordetiempoutilizado:sepermitelasincronizacin
#detiempoconlasfuentes,perosinpermitiralafuente
#consultar(noquery),nimodificarelservicioenel
#sistema(nomodify)ydeclinandoproveermensajesde
#registro(notrap).
restrictdefaultnomodifynotrapnoquery
restrict6defaultnomodifynotrapnoquery
#Permitirtodoelaccesoalainterfazderetornodel
#sistema.
restrict127.0.0.1
restrict6::1
#Selepermitealasredeslocalsincronizarconelservidor
#perosinpermitirlesmodificarlaconfiguracindel
#sistemaysinusarastoscomoigualesparasincronizar.
#Cambiarporlasquecorrespondanasuspropiasredeslocales.
restrict192.168.1.0mask255.255.255.0nomodifynotrap
restrict192.168.70.0mask255.255.255.128nomodifynotrap
restrict172.16.1.0mask255.255.255.240nomodifynotrap
restrict10.0.1.0mask255.255.255.248nomodifynotrap
#Relojlocalindisciplinado.
#Esteesuncontroladoremuladoqueseutilizaslocomo
#respaldocuandoningunadelasfuentesrealesestn
#disponibles.
fudge127.127.1.0stratum10
server127.127.1.0
#Archivodevariaciones.
driftfile/var/lib/ntp/drift
broadcastdelay0.008
#Archivodeclavessiacasofuesennecesariaspararealizar
#consultas
keys/etc/ntp/keys
#Listadeservidoresdetiempodeestrato1o2.
#Serecomiendateneralmenos3servidoreslistados.
#Masservidoresen:
#

http://kopernix.com/?q=ntp
#

http://www.eecis.udel.edu/~mills/ntp/servers.html
server0.pool.ntp.orgiburst
server1.pool.ntp.orgiburst
server2.pool.ntp.orgiburst
server3.pool.ntp.orgiburst
#Permisosqueseasignarnparacadaservidordetiempo.
#Enlosejemplos,seimpidealasfuenteconsultaromodificar
#elservicioenelsistema,ascomotambinenviarmensajede
#registro.
restrict0.pool.ntp.orgmask255.255.255.255nomodifynotrapnoquery
restrict1.pool.ntp.orgmask255.255.255.255nomodifynotrapnoquery
restrict2.pool.ntp.orgmask255.255.255.255nomodifynotrapnoquery
restrict3.pool.ntp.orgmask255.255.255.255nomodifynotrapnoquery
#Seactivaladifusinhacialosclientes
broadcastclient

Paraaplicarloscambios,ejecutelosiguiente:

servicentpdrestart

Parasincronizarlahoradeinmediatoenesteservidorrecinconfigurado,
ejecute:
ntpdateu0.pool.ntp.org

EnopenSUSEySUSELinuxEnterprise.
Evitemodificardirectamenteelarchivo/etc/ntpd.conf,pueselmtodo
preferidodeconfiguracinesatravsdelmdulocorrespondientedeYaST.
EnsulugarutiliceelmduloClienteNTPdeYaST,ejecutandolosiguiente:
yastntpclient

Conserveelrelojlocalindisciplinado,definalosservidoresNTPautilizary
apliqueloscambios.

MdulodeClienteNTPdeYaST,enmodogrfico,configurandocomo
servidorNTP.


MdulodeClienteNTPdeYaST,enmodotexto,configurandocomoservidor
NTP.
Parasincronizarlahoradeinmediatoenesteservidorrecinconfigurado,
ejecute:
ntpdateu0.pool.ntp.org

Configuracindeclientes.
AsumiendoquelosclientesGNU/Linuxyatieneinstaladoslospaquetesde
NTPyqueelservidortieneunadireccinIP172.16.1.1,verifiqueprimero
quehayconectividadhaciaelnuevoservidorqueacabadeconfigurar
ejecutandocomorootlosiguiente:
ntpdateu172.16.1.1

Loanteriordebedevolverunasalidasimilaralasiguiente:
18Sep13:30:15ntpdate[4913]:adjusttimeserver172.16.1.1offset
0.000812sec

Siloanteriorfalla,verifiquelaconfiguracinenelservidorysumuro
cortafuegos.
AsignacinautomticaatravsdeservidorDHCP.

Laformamssimpleyprcticadereplicarautomticamentelaasignacinde
servidoresNTPenlaredderealocal,esatravsdeunservidorDHCP.
Editeelarchivo/etc/dhcp/dhcpd.confo/etc/dhcpd.conf,deacuerdoa
laversindesistemaoperativoutilizado:
vim/etc/dhcp/dhcpd.conf

Utilicelaopcinntpserversparadefinirunalistaseparadaporcomasde
todoslosservidoresNTPquesequierautilizarenlaredderealocal:
ddnsupdatestyleinterim;
ignoreclientupdates;
authoritative;
defaultleasetime900;
maxleasetime7200;
optionipforwardingoff;
optiondomainname"redlocal.net";
optionntpservers172.16.1.1;
sharednetworkredlocal{

subnet172.16.1.0netmask255.255.255.192{

optionrouters172.16.1.1;

optionsubnetmask255.255.255.192;

optionbroadcastaddress172.16.1.63;

optiondomainnameservers172.16.1.1;

optionnetbiosnameservers172.16.1.1;

range172.16.1.2172.16.1.58;

}
}

Reinicieelserviciodhcpdafindequesurtanefectoloscambios.
servicedhcpdrestart

ParamsdetallesacercadelaconfiguracindeservidorDHCP,porfavor
consulteeldocumentotituladoConfiguracindeservidorDHCP.
ConfiguracinmanualenCentOS,FedorayRedHatEnterprise
Linux.
Editeelarchivo/etc/ntpd.conf:
vim/etc/ntp.conf

Aadaomodifiqueelsiguientecontenido:

driftfile/var/lib/ntp/drift
restrictdefaultkodnomodifynotrapnopeernoquery
restrict6defaultkodnomodifynotrapnopeernoquery
restrict127.0.0.1
restrict6::1
server172.16.1.1iburst
includefile/etc/ntp/crypto/pw
keys/etc/ntp/keys

Yreinicieelserviciontpafindequesurtanefectoloscambios:
servicentpdrestart

ConfiguracinmanualenopenSUSEySUSELinuxEnterprise.
Evitemodificararchivo/etc/ntpd.conf,pueselmtodopreferidode
configuracinesatravsdeYaST.
vim/etc/ntp.conf

UtiliceelmduloClienteNTPdeYaST,ejecutandolosiguiente:
yastntpclient

Elimineelrelojlocalindisciplinado,definaelservidorNTPautilizaryaplique
loscambios.

MdulodeClienteNTPdeYaST,enmodogrfico.

MdulodeClienteNTPdeYaST,enmodotexto.