Scénario #35840
EOLE 2.10 : Mettre à niveau vers ntpsec et vérifier ntp_signd
Statut:
Terminé (Sprint)
Priorité:
Normal
Assigné à:
Catégorie:
-
Version cible:
Début:
01/10/2022
Echéance:
01/01/2026
% réalisé:
100%
Points de scénarios:
6.0
Restant à faire (heures):
0.00 heure
Estimation basée sur la vélocité:
Release:
Liens avec la release:
Auto
Description
Suite au remplacement de ntp par ntpsec, des adaptations minimales ont été effectuées dans #35756 mais cela n'est certainement pas suffisant pour obtenir un fonctionnement correct.
À faire¶
Déplacer / mettre à niveau les fichiers de configuration des modules mettant en œuvre (Seth, Scribe, AmonEcole).
Critères d'acceptation¶
Tests jenkins passants :Sous-tâches
Demandes liées
Révisions associées
Changement réponse ntpq avec Ubuntu Noble
REF #35840
Historique
#1 Mis à jour par Joël Cuissinat il y a environ 2 ans
- Lié à Tâche #35756: EOLE 2.10 : Erreur à l'installation du paquet eole-ad-dc-pkg ajouté
#2 Mis à jour par Gilles Grandgérard il y a presque 2 ans
root@dc2:~# diff --side-by-side /etc/ntp.conf /etc/ntpsec/ntp.conf
# /etc/ntp.conf, configuration for ntpd; see ntp.conf(5) for | # /etc/ntpsec/ntp.conf, configuration for ntpd; see ntp.conf(
driftfile /var/lib/ntp/ntp.drift | driftfile /var/lib/ntpsec/ntp.drift
ntpsigndsocket /var/lib/samba/ntp_signd/ | leapfile /usr/share/zoneinfo/leap-seconds.list
# Enable this if you want statistics to be logged. | # To enable Network Time Security support as a server, obtain
#statsdir /var/log/ntpstats/ | # (e.g. with Let's Encrypt), configure the paths below, and u
> # nts cert CERT_FILE
> # nts key KEY_FILE
> # nts enable
> # You must create /var/log/ntpsec (owned by ntpsec:ntpsec) to
> #statsdir /var/log/ntpsec/
#statistics loopstats peerstats clockstats #statistics loopstats peerstats clockstats
#filegen loopstats file loopstats type day enable #filegen loopstats file loopstats type day enable
#filegen peerstats file peerstats type day enable #filegen peerstats file peerstats type day enable
#filegen clockstats file clockstats type day enable #filegen clockstats file clockstats type day enable
> # This should be maxclock 7, but the pool entries count towar
> tos maxclock 11
>
> # Comment this out if you have a refclock and want it to be a
> # the clock by itself (e.g. if the system is not connected to
> tos minclock 4 minsane 3
>
# Specify one or more NTP servers. # Specify one or more NTP servers.
# You do need to talk to an NTP server or two (or three). <
server hestia.eole.lan iburst <
# AD member must be synchronized on domain controller only | # Public NTP servers supporting Network Time Security:
server 192.168.0.5 iburst | # server time.cloudflare.com nts
>
> # Use servers from the NTP Pool Project. Approved by Ubuntu T
> # on 2011-02-08 (LP: #104525). See https://www.pool.ntp.org/j
> # more information.
> pool 0.ubuntu.pool.ntp.org iburst
> pool 1.ubuntu.pool.ntp.org iburst
> pool 2.ubuntu.pool.ntp.org iburst
> pool 3.ubuntu.pool.ntp.org iburst
>
> # Use Ubuntu's ntp server as a fallback.
> server ntp.ubuntu.com
>
> # Access control configuration; see /usr/share/doc/ntpsec-doc
> # for details.
> #
> # Note that "restrict" applies to both servers and clients, s
> # that might be intended to block requests from certain clien
> # up blocking replies from your own upstream servers.
# By default, exchange time with everybody, but don't allow c # By default, exchange time with everybody, but don't allow c
restrict -4 default kod notrap nomodify nopeer noquery limite | restrict default kod nomodify nopeer noquery limited
# Local users may interrogate the ntp server more closely. # Local users may interrogate the ntp server more closely.
restrict 127.0.0.1 restrict 127.0.0.1
restrict ::1 restrict ::1
<
# Clients from this (example!) subnet have unlimited access, <
# cryptographically authenticated. <
#restrict 192.168.123.0 mask 255.255.255.0 notrust <
<
# If you want to provide time to your local subnet, change th <
# (Again, the address is an example only.) <
#broadcast 192.168.123.255 <
<
# If you want to listen to time broadcasts on your local subn <
# next lines. Please do this only if you trust everybody on <
#disable auth <
#broadcastclient <
#3 Mis à jour par Gilles Grandgérard il y a presque 2 ans
If you are running the Unix Domain Member in a VM, you should consider adding tinker panic 0 to the end of the ntp.conf. This tells NTP not to panic and exit, no matter what the time offset is. This is recommended because virtual machines have no physical clock and can be paused at any time and started back up hours later. For further information see: https://www.redhat.com/en/blog/avoiding-clock-drift-vms
A ajouter au template.
#4 Mis à jour par Joël Cuissinat il y a presque 2 ans
- Description mis à jour (diff)
#5 Mis à jour par Joël Cuissinat il y a presque 2 ans
- Sujet changé de EOLE 2.10 : Vérifier ntp_signd à EOLE 2.10 : Mettre à niveau vers ntpsec et vérifier ntp_signd
- Release changé de EOLE 2.10.0 à Carnet de produit Cadoles - MEN
- Points de scénarios changé de 2.0 à 3.0
#6 Mis à jour par Benjamin Bohard il y a presque 2 ans
- Echéance mis à 01/01/2026
- Assigné à mis à Benjamin Bohard
- Version cible mis à Carnet Cadoles - MEN
- Début mis à 01/10/2022
#7 Mis à jour par Joël Cuissinat il y a plus d'un an
- Bloqué par Tâche #36083: Besoin d’une version de ntpsec non-backporté officiellement (encore) supprimé
#8 Mis à jour par Joël Cuissinat il y a plus d'un an
- Lié à Tâche #36083: Besoin d’une version de ntpsec non-backporté officiellement (encore) ajouté
#9 Mis à jour par Joël Cuissinat il y a plus d'un an
- Points de scénarios changé de 3.0 à 5.0
+2 pour débogage et tests Scribe/AmonEcole
#10 Mis à jour par Laurent Gourvenec il y a plus d'un an
Par rapport au tinker panic 0. Il a été convenu de mettre l'option tout le temps (peu de risque)
#11 Mis à jour par Joël Cuissinat il y a plus d'un an
- Points de scénarios changé de 5.0 à 6.0
+1 pour templatisation de /usr/share/lxc/config/common.conf sur AmonEcole et Scribe
#12 Mis à jour par Joël Cuissinat il y a plus d'un an
- Statut changé de Nouveau à Terminé (Sprint)
- Version cible changé de Carnet Cadoles - MEN à Livraison Cadoles - MEN 30/06/2024 (60+18)
- Release changé de Carnet de produit Cadoles - MEN à EOLE 2.10.0