ntp.conf ファイル
目的
Network Time Protocol (NTP) ntpd デーモンの操作と動作を制御します。
説明
ntp.conf ファイルは、 ntpd デーモンを制御する基本構成ファイルです。
構成オプション
ntpd デーモンの構成に使用されるコマンドには、構成コマンドと補助コマンドの 2 つのクラスがあります。 補助コマンドは、さまざまな関連操作を制御する環境変数を指定するために使用されます。
- 構成コマンド
- 構成コマンドは、リモート・サーバー、ピア、または参照クロックとの関連を構成するために使用されます。
server address [options ...] peer address [options ...] broadcast address [options ...] manycastclient address [options ...]
これらの 4 つのコマンドは、使用するタイム・サーバーの名前またはアドレス、および操作モードを指定します。 アドレスは、DNS 名またはドット付きクワッド表記の IP アドレスのいずれかにすることができます。 関連付けの動作に関する追加情報は、「 関連付けの管理 」ページにあります。コマンド 説明 server タイプ s
およびr
アドレス (のみ) の場合、このコマンドは通常、指定されたリモート・サーバーまたはローカル参照クロックとの永続クライアント・モード・アソシエーションを動員します。 preempt フラグが指定されている場合は、代わりにpeerutable
関連が動員されます。 クライアント・モードでは、クライアント・クロックをリモート・サーバーまたはローカル参照クロックに同期させることができますが、リモート・サーバーをクライアント・クロックに同期させることはできません。 このコマンドは、タイプb
、またはm
アドレスには使用できません。peer タイプ s
アドレスの場合 (のみ)、このコマンドは、指定されたリモート・ピアとの永続対称アクティブ・モードの関連付けを動員します。 このモードでは、ローカル・クロックをリモート・ピアに同期させるか、リモート・ピアをローカル・クロックに同期させることができます。 このコマンドは、さまざまな障害シナリオに応じて、ローカル・ピアまたはリモート・ピアのいずれかが時間のソースになる可能性があるサーバーのネットワークで役立ちます。 このコマンドは、タイプb
、m
、またはr
のアドレスには使用できません。broadcast タイプ b
およびm
アドレス (のみ) の場合、このコマンドは永続ブロードキャスト・モードの関連付けをモバイル化します。 複数のコマンドを使用して、複数のローカル・ブロードキャスト・インターフェース (サブネット) および複数のマルチキャスト・グループを指定できます。 ローカル・ブロードキャスト・メッセージは、指定されたサブネットに関連付けられたインターフェースにのみ送信されますが、マルチキャスト・メッセージはすべてのインターフェースに送信されます。 ブロードキャスト・モードでは、ローカル・サーバーは、指定されたアドレスにあるクライアント集団に定期的にブロードキャスト・メッセージを送信します。 指定されるアドレスは通常、1 つ以上のローカル・ネットワーク上のブロードキャスト・アドレス、または NTP に割り当てられたマルチキャスト・アドレスです。 IANA は、マルチキャスト・グループ・アドレスIPv4 224.0.1.1
およびIPv6 ff05::101
(サイト・ローカル) を排他的に NTP に割り当てましたが、競合しない他のアドレスを使用して、管理境界内にメッセージを含めることができます。 通常、この指定は、送信側として動作するローカル・サーバーにのみ適用されます。ブロードキャスト・クライアントとして動作する場合は、 broadcastclient または multicastclient コマンドを参照してください。manycastclient タイプ m
アドレスの場合 (のみ)、このコマンドは、指定されたマルチキャスト・グループ・アドレスのpreemptable
マニーキャスト・クライアント・モード・アソシエーションを動員します。 このモードでは、指定されたマニーキャスト・サーバーの manycastserver コマンドで使用されるアドレスと一致する特定のアドレスを指定する必要があります。 IANA によって割り当てられた NTP マルチキャスト・アドレス 224.0.1.1 を使用してはなりません。ただし、応答のスパンを制限し、元の送信側で大量のインプロッションが発生しないようにするための特定の手段が取られている場合を除きます。 manycastclient コマンドは、ブロードキャスト・メッセージまたはマルチキャスト・メッセージの結果としてディスカバーされたリモート・サーバーを使用して、ホストがクライアント・モードで動作することを指定します。 クライアントは、指定されたアドレスに関連付けられたグループ・アドレスに要求メッセージをブロードキャストし、使用可能なサーバーはこれらのメッセージに応答します。 クライアントは、最良の時間を提供するサーバーを選択し、サーバー・コマンドの場合と同様に続行します。 残りのサーバーは破棄されます。- コマンド・オプション
オプション 説明 autokey サーバーまたはピアとの間で送受信されるすべてのパケットには、「 認証オプション 」ページで説明されている自動キー・スキームを使用して暗号化された認証フィールドが含まれます。 このオプションは、すべてのコマンドで有効です。 burst サーバーに到達できる場合は、通常のパケットではなく、8 パケットのバーストを送信します。 パケット間隔は通常 2 s です。 ただし、最初のパケットと 2 番目のパケットの間のスペーシングは、モデムまたは ISDN 呼び出しが完了するまでの時間を長くするために、 calldelay コマンドを使用して変更することができます。 このオプションは、 server コマンドでのみ有効であり、 maxpoll オプションが 11 以上の場合にこのコマンドで推奨されるオプションです。 iburst サーバーに到達できない場合は、通常のパケットの代わりに 8 パケットのバーストを送信します。 パケット間隔は通常 2 s です。 ただし、最初のパケットと 2 番目のパケットの間のスペーシングは、モデムまたは ISDN 呼び出しが完了するまでの時間を長くするために、 calldelay コマンドを使用して変更することができます。 このオプションは、 server コマンドでのみ有効であり、このコマンドで推奨されるオプションです。 key キー サーバーまたはピアとの間で送受信されるすべてのパケットには、指定された鍵 ID (1 から 65534 までの値を含む) を使用して暗号化された認証フィールドが含まれます。 デフォルトでは、暗号化フィールドは含まれません。 このオプションは、すべてのコマンドで有効です。 minpoll または maxpoll これらのオプションは、NTP メッセージの最小および最大のポーリング間隔を秒単位で 2 の累乗として指定します。 最大ポーリング間隔のデフォルトは 10 (1,024 秒) ですが、 maxpoll オプションを使用して上限の 17 (36.4 時間) に増やすことができます。 デフォルトの最小ポーリング間隔は 6 (64 秒) です。 ただし、 minpoll オプションを使用して、最小限度の 4 (16s) まで減らすことができます。 これらのオプションは、 server コマンドおよび peer コマンドでのみ有効です。 noselect 表示目的の場合を除き、サーバーに未使用のマークを付けます。 選択アルゴリズムはサーバーを破棄します。 このオプションは、サーバー・コマンドおよびピア・コマンドでのみ有効です。 preempt 関連付けを、デフォルトのパーシスタントではなく、 preemptable
として指定します。 このオプションは、 server コマンドでのみ有効です。prefer サーバーに優先のマークを付けます。 他のすべてのパラメーターがホストのセット内で等しい場合、優先のマークが付けられたホストが、正しく作動しているホストのセット間の同期のために選択されます。 詳しくは、 緩和ルールと優先キーワード のページを参照してください。 このオプションは、サーバー・コマンドおよびピア・コマンドでのみ有効です。 true 関連付けが truechimer
状況を想定するように強制します。つまり、常に選択アルゴリズムとクラスタリング・アルゴリズムを存続させます。 このオプションは、任意の関連付けで使用できます。 ただし、大きなシリアル・ポート・ジッターと正確なパルス/秒 (PPS) 信号を持つリファレンス・クロックを使用すると、最も効果的に機能します。注: このオプションは、falsetickers
をキャストアウトするように設計されたアルゴリズムを無効にし、これらのソースがシステム・クロックを設定できるようにします。 このオプションは、サーバー・コマンドおよびピア・コマンドでのみ有効です。ttl ttl このオプションは、ブロードキャスト・サーバー・モードおよびマニーキャスト・クライアント・モードでのみ使用されます。 これは、ブロードキャスト・サーバーおよびマルチキャスト・サーバーで使用される、マニーキャスト・クライアント・パケットおよび ttl を使用した拡張リング検索の最大存続時間 (ttl) を指定します。 適切な値 (デフォルトは 127) を選択することは、ブラック・アートのようなものであり、ネットワーク管理者と調整する必要があります。 version バージョン 発信 NTP パケットに使用するバージョン番号を指定します。 バージョン 1 から 4 が選択項目で、バージョン 4 がデフォルトです。 このオプションは、サーバー・コマンド、ピア・コマンド、およびブロードキャスト・コマンドでのみ有効です。
- 補助コマンド
コマンド 説明 broadcastclient [ novolley
]このコマンドは、任意のローカル・インターフェース (タイプ b
) アドレスへのブロードキャスト・サーバー・メッセージの受信を可能にします。 ブロードキャスト・クライアントは、初めてメッセージを受信すると、サーバーとの短いクライアントまたはサーバー交換を使用して公称サーバー伝搬遅延を測定します。その後、サーバーは listen 専用モードで続行します。novolley
キーワードが存在する場合、交換は使用されず、 broadcastdelay コマンドで指定された値が使用されます。 broadcastdelay コマンドが使用されない場合は、デフォルトの 4.0 ミリ秒が使用されます。注: このモードで偶発的または悪意のある中断を回避するには、「 認証オプション 」ページで説明されているように、サーバーとクライアントの両方が対称鍵または公開鍵認証を使用して動作する必要があります。novolley
キーワードは、公開鍵認証と互換性がありません。manycastserver address [...] このコマンドは、指定された 1 つ以上のマルチキャスト・グループ・アドレス (タイプ m
) へのマンキャスト・クライアント・メッセージの受信を可能にします。 少なくとも 1 つのアドレスが必要です。 IANA によって割り当てられた NTP マルチキャスト・アドレス 224.0.1.1 を使用してはなりません。ただし、応答のスパンを制限し、場合によっては元の送信側で大量のプロットを回避するための特定の手段が取られている場合を除きます。注: このモードで偶発的または悪意のある中断を回避するには、「 認証オプション 」ページで説明されているように、サーバーとクライアントの両方が対称鍵または公開鍵認証を使用して動作する必要があります。multicastclient address [...] このコマンドは、指定された 1 つ以上のマルチキャスト・グループ・アドレス (タイプ m
) へのマルチキャスト・サーバー・メッセージの受信を可能にします。 マルチキャスト・クライアントは、初めてメッセージを受信すると、サーバーとの短いクライアントまたはサーバー交換を使用して、公称サーバー伝搬遅延を測定します。 その後、マルチキャスト・クライアントはブロードキャスト・クライアント・モードに入ります。このモードでは、マルチキャスト・クライアントは後続のマルチキャスト・メッセージと同期します。注: このモードで偶発的または悪意のある中断を回避するために、サーバーとクライアントの両方が対称鍵認証または公開鍵認証を使用して動作する必要があります。
構成アクセス制御オプション
ntpd デーモンは、汎用アドレス・ベースまたはマスク・ベースの制限リストを実装します。 リストには、最初にアドレス値を増やしてからマスク値を増やすことによってソートされたアドレスまたは一致項目が含まれます。 マスクとパケット・ソース・アドレスのビット単位 AND が、マスクとリスト内のアドレスのビット単位 AND と等しい場合に、一致が発生します。 リストは、項目に関連した制限フラグを定義して、最後に検出された一致の順序で検索されます。
この機能は、無害なサーバーから不要なクライアントや悪意のあるクライアントを保持するのに役立ちますが、NTP 認証機能の代替と見なすことはできません。 判別されたクラッカーは、ソース・アドレス・ベースの制限を簡単に回避できます。
クライアントは、 restrict コマンドによって作成される制限リストに明示的に組み込まれるか、暗号違反またはレート制限違反の結果として暗黙的に組み込まれるため、サービスを拒否することができます。 暗号違反には、証明書または ID 検査の失敗が含まれます。 レート制限違反は、パケットを不正な速度で送信する NTP 実装の欠陥が原因で発生します。 一部の違反により、問題のパケットに対してのみサービスが拒否されます。 違反の中には、一定期間にわたってサービスが拒否される原因となるものと、無期限にサービスが拒否される原因となるものがあります。 クライアントまたはネットワークが無期限にアクセスを拒否された場合、現在制限を除去する唯一の方法は、サーバーを再始動することです。
コマンド | 説明 |
---|---|
discard [ average avg ] [ minimum min ] [ monitor prob ] | サーバーをクライアントの不正使用から保護する限定機能のパラメーターを設定します。 average サブコマンドは最小平均パケット・スペーシングを指定し、 minimum サブコマンドは最小パケット・スペーシングを指定します。 これらの最小値に違反するパケットは破棄され、使用可能な場合は出入りパケットが返されます。 デフォルトの最小平均は 5 で、デフォルトの最小平均は 2 です。 モニター・サブコマンドは、速度制御ウィンドウをオーバーフローするパケットの廃棄の確率を指定します。 |
restrict address [mask マスク] [flag] [...] | ドット付きクワッド形式で表現されるアドレス引数は、ホストまたはネットワークのアドレスです。 あるいは、アドレス引数を有効なホスト DNS 名にすることもできます。 小数点付きクワッド形式で表されるマスク引数は、デフォルトで 255.255.255.255になります。これは、アドレスが個々のホストのアドレスとして扱われることを意味します。 デフォルト項目 (アドレス 0.0.0.0、マスク 0.0.0.0) は常に組み込まれ、常にリスト内の最初の項目になります。 デフォルト項目を示すために、マスク・オプションなしのテキスト・ストリング・デフォルトが使用される場合があります。 |
現在の実装では、フラグは常にアクセスを制限します。 フラグのない項目は、サーバーへのフリー・アクセスが与えられることを示します。 フラグは直交フラグではないため、より限定的なフラグを使用すると、より限定的なフラグが冗長になることがよくあります。 フラグは通常、タイム・サービスを制限するフラグと、情報照会を制限するフラグ、およびサーバーのランタイム再構成を試行するフラグの 2 つのカテゴリーに分類できます。 以下の 1 つ以上のフラグを指定できます。
フラグ | 説明 |
---|---|
ignore | ntpq および ntpdc 照会を含むすべての種類のパケットを拒否します。 |
kod | アクセス違反が発生したときにこのフラグが設定されると、iness-o '-iness (KoD) パケットが送信されます。 KoD パケットの速度は、1 秒につき 1 つ以下に制限されています。 最後のパケットから 1 秒以内に別の KoD パケットが発生すると、そのパケットはドロップされます。 |
limited | パケット・スペーシングが discard コマンドに指定された最小限度に違反する場合は、サービスを拒否します。 クライアントの履歴は、 ntpd コマンドのモニター機能を使用して保持されます。 制限されたフラグを持つ制限項目がある場合、モニターは常にアクティブです。 |
lowpriotrap | ホストのマッチングによって設定されたトラップの優先度が低いことを宣言します。 サーバーが維持できるトラップの数には制限があります。 現在の制限は 3 です。 トラップは、先着順ベースで割り当てられます。 サーバーの最大限度を超えるトラップが要求側に割り当てられると、サービスは拒否されます。 このフラグは、後続の通常優先順位トラップの要求によって低優先順位トラップをオーバーライドできるようにすることによって、割り当てアルゴリズムを変更します。 |
nomodify | サーバーの状態を変更しようとする ntpq 照会および ntpdc 照会 (つまり、ランタイム再構成) を拒否します。 情報を返す照会が許可されます。 |
noquery | ntpq および ntpdc 照会を拒否します。 Time サービスは影響を受けません。 |
nopeer | 新しい関連付けを動員することになるパケットを拒否します。 このフラグには、構成された関連付けが存在しない場合に、ブロードキャスト、対称アクティブ、およびマンキャストのクライアント・パケットが含まれます。 |
noserve | ntpq および ntpdc 照会を除くすべてのパケットを拒否します。 |
notrap | モード 6 コントロール・メッセージ・トラップ・サービスをマッチング・ホストに提供することを拒否します。 トラップ・サービスは、リモート・イベント・ロギング・プログラムで使用するための ntpdq 制御メッセージ・プロトコルのサブシステムです。 |
notrust | パケットが暗号的に認証されていない限り、パケットを拒否します。 |
ntpport | このフラグは、制限フラグではなく、マッチング・アルゴリズム修飾子です。 その存在により、パケット内のソース・ポートが標準 NTP UDP ポート (123) である場合にのみ、制限エントリーがマッチングされます。 ntpport と non-ntpport の両方を指定できます。 ntpport は、より具体的なものと見なされ、リストの後の方にソートされます。 |
version | 現在の NTP バージョンと一致しないパケットを拒否します。 |
ローカル・ホストの各インターフェース・アドレスについて、無視フラグ、インターフェース、および ntpport
フラグを持つデフォルト制限リスト項目が、始動時にテーブルに挿入されます。これは、サーバーがそれ自体の時間に同期化を試行しないようにするためです。 デフォルト・エントリーも常に存在しますが、それ以外の場合は構成解除されます。 デフォルト・エントリーに関連付けられているフラグはありません。 独自の NTP サーバーを除くすべてのものに制限はありません。
構成認証オプション
認証サポートにより、NTP クライアントは、サーバーが実際に既知の信頼できるサービスであり、侵入者が誤ってまたは意図的にそのサーバーになりすますのではないことを検証できます。 NTPv3 仕様の RFC-1305 は、受信した NTP パケットの暗号認証を提供するスキームを定義しています。 元々は、暗号化ブロック・チェーン (CBC) モード (一般に DES-CBC と呼ばれる) で動作する Data Encryption Standard (DES) アルゴリズムを使用して行われていました。 その後、秘密鍵 (一般に keyed-MD5と呼ばれる) を使用して、RSA メッセージ igest 5 (MD5) アルゴリズムに置き換えられました。 アルゴリズムは、メッセージ・ダイジェストまたは片方向ハッシュを計算します。これらを使用して、サーバーに正しい秘密鍵と鍵 ID があることを検証できます。
NTPv4 は、対称鍵暗号方式として適切に記述された NTPv3 方式を保持し、さらに公開鍵暗号方式に基づく新しい自動キー方式を提供します。 公開鍵暗号方式は対称鍵暗号方式よりも安全であると見なされます。これは、セキュリティーが各ホストによって生成され、公開されることのない秘密値に基づいているためです。 後述のグループ・キーを除き、すべての鍵配布および管理機能には、鍵配布およびストレージを大幅に単純化する公開値のみが関与します。 公開鍵管理は、商用サービスによって提供されるか、 OpenSSL ソフトウェア・ライブラリーまたは NTPv4 ディストリビューションのユーティリティー・プログラムによって生成される X.509 証明書に基づいています。
コマンド | 説明 |
---|---|
autokey [logsec] | 自動キー・プロトコルで使用されるセッション・キー・リストの再生成間隔を指定します。 各関連のキー・リストのサイズは、この間隔と現在のポーリング間隔によって異なります。 デフォルト値は 12 (4096 秒または約 1.1 時間) です。 ポーリング間隔が指定された間隔を超えると、送信されるメッセージごとに 1 つのエントリーを持つセッション・キー・リストが再生成されます。 |
controlkey key | RFC-1305で定義されている標準プロトコルを使用する ntpq ユーティリティーで使用する鍵 ID を指定します。 鍵引数はトラステッド鍵の鍵 ID です。値の範囲は 1 から 65,534 (両端の値を含む) です。 |
crypto [cert file] [leap file] [randfile file] [host file] [sign file] [ident scheme] [iffpar file] [gqpar file] [mvpar file] [pw password] | このコマンドには、 OpenSSL ライブラリーが必要です。 これは、公開鍵暗号方式を活動化し、メッセージ・ダイジェストおよび署名暗号化方式を選択し、前述の必要な秘密値および公開値をロードします。 1 つ以上のファイルが未指定のままである場合は、前述のようにデフォルト名が使用されます。 ファイルの完全なパスと名前が指定されていない限り、ファイルの場所は、 keysdir コマンドまたはデフォルトの /usr/local/etc ディレクトリーで指定されている keys ディレクトリーに対する相対位置になります。 |
以下に、サブコマンドを示します。
サブコマンド | 説明 |
---|---|
cert ファイル | 必要なホスト・パブリック証明書ファイルの場所を指定します。 このサブコマンドは、keys ディレクトリー内のリンク ntpkey_cert_hostname をオーバーライドします。 |
gqpar ファイル | クライアント GQ パラメーター・ファイルの場所を指定します。 このサブコマンドは、keys ディレクトリー内のリンク ntpkey_gq_hostname をオーバーライドします。 |
host ファイル | 必要なホスト鍵ファイルの場所を指定します。 このサブコマンドは、keys ディレクトリー内のリンク ntpkey_key_hostname をオーバーライドします。 |
ident スキーム | サーバー ID スキーム (IFF、GQ、または MV) を要求します。 このサブコマンドは、ホストが従属クライアントのサーバーでない場合に使用されます。 |
iffpar ファイル | オプションの IFF パラメーター・ファイルの場所を指定します。 このサブコマンドは、keys ディレクトリー内のリンク ntpkey_iff_hostname をオーバーライドします。 |
leap ファイル | クライアント leapsecond ファイルの場所を指定します。 このサブコマンドは、keys ディレクトリー内のリンク ntpkey_leap をオーバーライドします。 |
mv | MV サーバー ID スキームを要求します。 |
mvpar ファイル | クライアント MV パラメーター・ファイルの場所を指定します。 このサブコマンドは、keys ディレクトリー内のリンク ntpkey_mv_hostname をオーバーライドします。 |
pw パスワード | 秘密鍵と ID パラメーターを含むファイルを暗号化解除するためのパスワードを指定します。 これは、これらのファイルが暗号化されている場合にのみ必要です。 |
randfile ファイル | OpenSSL ライブラリーによって使用されるランダム・シード・ファイルの場所を指定します。 デフォルトについては、前述の本文で説明しています。 |
sign ファイル | オプションの署名鍵ファイルの場所を指定します。 このサブコマンドは、keys ディレクトリー内のリンク ntpkey_sign_hostname をオーバーライドします。 このファイルが見つからない場合、ホスト・キーは符号キーでもあります。 |
keys 鍵ファイル | 対称鍵暗号方式で操作する場合に ntpd 、 ntpq 、および ntpdc によって使用される鍵と鍵 ID を含む MD5 鍵ファイルの完全パスと場所を指定します。 このサブコマンドの操作は、 -k コマンド行オプションと同じです。 |
keysdir パス | このコマンドは、暗号鍵、パラメーター、および証明書のデフォルト・ディレクトリー・パスを指定します。 デフォルトは /usr/local/etc/ ディレクトリーです。 |
requestkey キー | ntpdc ユーティリティー・プログラムで使用する鍵 ID を指定します。このユーティリティー・プログラムは、 ntpd のこのインプリメンテーションに固有のプロプラエタリー・プロトコルを使用します。 鍵引数は、トラステッド鍵の鍵 ID です。値の範囲は 1 から 65,534 (両端の値を含む) です。 |
revoke [ログ秒] | 自動キー方式によって使用される特定の暗号値を再認証する間隔を 2 の累乗 (秒単位) で指定します。 これらの値は、スキームのアルゴリズムに対するブルート・フォース・アタックを回避するために頻繁に更新する必要がありますが、一部の値の更新は比較的負荷の高い操作です。 デフォルトの間隔は 16 (65,536 秒または約 18 時間) です。 ポーリング間隔が指定された間隔を超えると、送信されるメッセージごとに値が更新されます。 |
trustedkey キー [...] | 対称鍵暗号方式を使用してピアを認証する目的、および ntpq プログラムと ntpdc プログラムによって使用される鍵のために信頼される鍵 ID を指定します。 認証手順では、ローカル・サーバーとリモート・サーバーの両方がこの目的のために同じ鍵と鍵 ID を共有する必要がありますが、異なる鍵を異なるサーバーで使用することができます。 キー引数は、1 から 65,534 までの値を持つ 32 ビット符号なし整数です。 |
構成モニター・オプション
ntpd
には、サーバーおよびクライアントのタイム・キーピング・パフォーマンスの継続的な長期記録に適した包括的なモニター機能が組み込まれています。 現在サポートされている各タイプの統計のリストと例については、後述の statistics コマンドを参照してください。 統計ファイルは、この配布の ./scripts ディレクトリーにあるファイル生成セットとスクリプトを使用して管理されます。 これらの機能と UNIX クーロン・ジョブを使用して、データを自動的に要約してアーカイブし、振り返り分析を行うことができます。
コマンド | 説明 |
---|---|
statistics 名前 [...] | 統計レコードの書き込みを有効にします。 現在、6 種類の統計がサポートされています。 |
clockstats | クロック・ドライバー統計情報の記録を有効にします。 クロック・ドライバーから受け取った更新ごとに、以下の形式の行が clockstats という名前のファイル生成セットに追加されます。 最初の 2 つのフィールドには、日付 (変更されたユリウス日付) と時刻 (UTC の午前 0 時を過ぎた秒と小数部) が表示されます。 次のフィールドは、クロック・アドレスを小数点付きクワッド表記で示します。 最後のフィールドは、デコードされた ASCII フォーマットでクロックから受信された最後のタイム・コードを示します (意味がある場合)。 一部のクロック・ドライバーでは、多くの追加情報を収集して表示することができます。 詳しくは、各クロックに固有の情報を参照してください。 |
cryptostats | このオプションには、 OpenSSL 暗号ソフトウェア・ライブラリーが必要です。 これにより、暗号公開鍵プロトコル情報の記録が可能になります。 プロトコル・モジュールによって受信される各メッセージは、以下の形式の行を、cryptostats という名前のファイル生成セットに追加します。 最初の 2 つのフィールドには、日付 (変更されたユリウス日付) と時刻 (UTC の午前 0 時を過ぎた秒と小数部) が表示されます。 次のフィールドには、ピア・アドレスがドット付きクワッド表記で表示されます。 最終メッセージ・フィールドには、メッセージ・タイプと特定の補助情報が含まれます。 詳しくは、「 認証オプション 」ページを参照してください。 |
loopstats | ループ・フィルター統計情報の記録を有効にします。 ローカル・クロックを更新するたびに、loopstats という名前のファイル生成セットに以下の形式の行が出力されます。 最初の 2 つのフィールドには、日付 (変更されたユリウス日付) と時刻 (UTC の午前 0 時を過ぎた秒と小数部) が表示されます。 次の 5 つのフィールドは、時間オフセット (秒)、頻度オフセット (100 万 PPM ごとの部分)、RMS ジッター (秒)、アラン・偏差 (PPM)、およびクロック・規律時間定数を示します。 |
peerstats | ピア統計情報の記録を有効にします。 これには、NTP サーバーのすべてのピアの統計レコード、および特別なシグナル (存在し、構成されている場合) の統計レコードが含まれます。 有効な更新ごとに、peerstats という名前のファイル生成セットの現行エレメントに、以下の形式の行が追加されます。 最初の 2 つのフィールドには、日付 (変更されたユリウス日付) と時刻 (UTC の午前 0 時を過ぎた秒と小数部) が表示されます。 次の 2 つのフィールドは、ピア・アドレスをドット付きクワッド表記および状況で示します。 状況フィールドは、NTP 仕様 RFC 1305 の付録 B で説明されている形式で 16 進数でエンコードされます。 最後の 4 つのフィールドには、オフセット、遅延、分散、および RMS ジッターがすべて秒単位で表示されます。 |
rawstats | 未加工タイム・スタンプ統計情報の記録を有効にします。 これには、NTP サーバーのすべてのピアの統計レコード、および特別なシグナル (存在し、構成されている場合) の統計レコードが含まれます。 ピアまたはクロック・ドライバーから受信した各 NTP メッセージは、以下の形式の行を rawstats という名前のファイル生成セットに追加します。 最初の 2 つのフィールドには、日付 (変更されたユリウス日付) と時刻 (UTC の午前 0 時を過ぎた秒と小数部) が表示されます。 次の 2 つのフィールドは、リモート・ピアまたはクロック・アドレスと、それに続くドット・クワッド表記のローカル・アドレスを示しています。 最後の 4 つのフィールドは、発信、受信、送信、および最終 NTP タイム・スタンプを順に示します。 タイム・スタンプ値は、さまざまなデータ平滑化および緩和アルゴリズムによって処理される前に受信されます。 |
sysstats | ntpd 統計カウンターの定期的な記録を有効にします。 1 時間ごとに、以下の形式の行が sysstats という名前のファイル生成セットに追加されます。 最初の 2 つのフィールドには、日付 (変更されたユリウス日付) と時刻 (UTC の午前 0 時を過ぎた秒と小数部) が表示されます。 残りの 10 個のフィールドには、最後に生成された行以降に集計された統計カウンター値が表示されます。
|
timingstats | デーモンがプロセス時間デバッグ・サポート (--enable-debug-timing-costs パフォーマンス) でコンパイルされている場合にのみ使用可能です。 選択された各種コード・パスの ntpd 処理時間情報の記録を有効にします。 最初の 2 つのフィールドには、日付 (変更されたユリウス日付) と時刻 (UTC の午前 0 時を過ぎた秒と小数部) が表示されます。 次のフィールドは、関連する入出力ソースに応じて、潜在的なピア・アドレスまたは REFCLOCK です。 次に、コード・パス内の処理されたイベントの数のイベント・カウントが続きます。 5 番目のフィールドは、イベントに費やされた合計時間です。 残りの行は、コード・パス記述 statsdir directory_path を示します。 |
statsdir ディレクトリー・パス | 統計ファイルを作成する必要があるディレクトリーの絶対パスを示します。 このキーワードを使用すると、ファイル生成セットのファイル名接頭部 (その他の場合は定数) を変更することができます。これは、統計ログの処理に役立ちます。 |
filegen name [file ファイル名] [type typename] [link | nolink ] [enable |
disable ] |
生成ファイル・セット名の設定を構成します。 生成ファイル・セットは、サーバーの存続期間中に増加し続けるファイルを処理する手段を提供します。 このようなファイルの典型的な例として、サーバー統計があります。 生成ファイル・セットは、実際のデータを保管するために使用されるファイルのセットへのアクセスを提供します。 どの時点においても、セットの最大 1 つのエレメントが書き込まれます。 指定されたタイプは、いつどのようにデータがセットの新規エレメントに送信されるかを指定します。 このようにして、ファイルセットの未使用のエレメントに保管されている情報は、ntpd の操作を妨げるリスクなしで管理操作に使用できます。 これらを除去して, 作成された新しいデータ用にスペースを解放することができます。 注: このコマンドは、リモート・ロケーションで実行される ntpdc プログラムから送信できます。
|
コマンド | 説明 |
---|---|
filegen name [file ファイル名] [type typename] [link | nolink ] [enable |
disable ] |
|
その他の構成オプション
コマンド | オプション |
---|---|
broadcastdelay seconds | ブロードキャスト・モードおよびマルチキャスト・モードでは、ローカル・サーバーとリモート・サーバーの間のネットワーク遅延を判別するための特別な調整が必要です。 通常、これはクライアントとサーバーの間の初期プロトコル交換によって自動的に行われます。 場合によっては、ネットワークまたはサーバーのアクセス制御などが原因で調整手順が失敗することがあります。 このコマンドは、このような状況で使用されるデフォルトの遅延を指定します。 通常 (イーサネットの場合)、 0.003 から 0.007 秒の間の数値が適しています。 このコマンドを使用しない場合のデフォルトは 0.004 秒です。 |
calldelay delay | このオプションは, モデムまたは ISDN 呼び出しが完了するまでの時間を増やすために, バースト・モードまたは iburst モードで送信される最初のパケットと 2 番目のパケットの間の遅延 (秒数) を制御します。 |
driftfile driftfile [ minutes [ tolerance ]] |
このコマンドは、ローカル・クロック発振器の周波数を記録するために使用されるファイルの完全なパスと名前を指定します。 このコマンドの操作は、 -f command link e オプションと同じです。 ファイルが存在する場合は、初期頻度を設定するために始動時に読み取られ、デーモンによって計算された現在の頻度で 1 時間に 1 回更新されます。 ファイル名が指定されているが、ファイル自体が存在しない場合は、最初の頻度がゼロから始まり、初めてファイルを書き込むときにファイルが作成されます。 このコマンドを指定しない場合、デーモンはゼロの初期頻度で開始します。 ファイル・フォーマットは、単一の浮動小数点数を含む単一行で構成されます。この浮動小数点数は、100 万分の 1 (PPM) 単位で計測された頻度オフセットを記録します。 ファイルを更新するには、まず現在のドリフト値を一時ファイルに書き込み、次にこのファイルの名前を変更して古いバージョンを置き換えます。 これは、ntpd がドリフト・ファイルが置かれているディレクトリーに対する書き込み許可を持っている必要があり、シンボリック・リンクまたはその他のファイル・システム・リンクを回避する必要があることを意味します。 2 つのオプション値は、ファイルの書き込み頻度を決定します。これは、ディスクを不必要にスピンアップしないことが望ましい場合に役立ちます。 パラメーター minutes は、ファイルが書き込まれる頻度です。 省略した場合、または 1 未満の場合、間隔は 60 分 (1 時間) です。 パラメーター許容度は、新しい値の書き込みをスキップするしきい値です。 新しい値が最後に書き込まれた値の許容パーセント (小数点以下 3 桁と比較) の範囲内にある場合、書き込みはスキップされます。 デフォルトは 0.0です。これは、現行値と前の値が同じでない限り、書き込みが行われることを意味します。 0.1 の許容範囲は、小数点以下 2nd 桁の差にほぼ等しくなります。 |
enable [ auth | bclient | calibrate | kernel |
monitor | ntp | pps | stats ] および disable [ auth | bclient |
calibrate | kernel | monitor | ntp | pps | stats ] |
さまざまなシステム・オプションを有効または無効にする方法を提供します。 言及されていないフラグは影響を受けません。 これらのフラグはすべて、 ntpdc ユーティリティー・プログラムを使用してリモート側で制御できます。
|
includefile includefile | このコマンドを使用すると、別のファイルから追加の構成コマンドを組み込むことができます。 includefiles コマンドは、5 の深さまでネストすることができます。 includefile コマンドの終わりに達すると、前の構成ファイルで処理が再開されます。 このオプションは、(ほとんどの場合) 共通オプション (制限リストなど) を使用して、複数のホスト上で ntpd を実行するサイトに役立ちます。 |
logconfig configkeyword | このコマンドは、システム syslog 機能または代替ログ・ファイルに書き込まれる出力の量とタイプを制御します。 すべての configkeyword キーワードには、接頭部 =、+、および-を付けることができます。ここで、= は syslogmask を設定し、+ はメッセージを追加し、-は除去します。 syslog メッセージは、4 つのクラス (clock,
peer, sys and sync ) で制御できます。 これらのクラス内で制御できるメッセージには、通知メッセージ (info )、イベント・メッセージ (events )、統計メッセージ (statistics )、および状況メッセージ (status ) の 4 つのタイプがあります。 構成キーワードは、メッセージ・クラスとイベント・クラスを連結することによって形成されます。 メッセージ・クラスの代わりにすべての接頭部を使用できます。 メッセージ・クラスの後に all キーワードを付けて、それぞれのメッセージ・クラスのすべてのメッセージを使用可能または使用不可にすることもできます。 デフォルトでは、logconfig 出力は allsync に設定されます。 したがって、最小限のログ構成は次のようになります。 これにより、ntpd の同期状態と主要なシステム・イベントがリストされます。 単純な参照サーバーの場合、以下の最小メッセージ構成が役立つ可能性があります。 この構成では、すべてのクロック情報と同期情報がリストされます。 ピア、システム・イベントなどに関する他のすべてのイベントおよびメッセージは抑止されます。 |
logfile logfile | このコマンドは、デフォルトのシステム syslog 機能の代わりに使用する代替ログ・ファイルの場所を指定します。 このコマンドの操作は、 -l コマンド行オプションと同じです。 |
phone dial1 dial2 ... | このコマンドは、ACTS モデム・ドライバー (タイプ 18) で使用されます。 引数は、USNO、NIST、またはヨーロッパのタイム・サービスのダイヤルに使用される最大 10 個の電話番号で構成されます。 通常、ヘイズ・コマンド ATDT は番号の接頭部として追加されます。これには、他のモデム制御コードも含めることができます。 |
setvar 変数 [default ] |
このコマンドは、新しいシステム変数を作成します。 これらの変数を使用して、アクセス・ポリシーなどの追加情報を配布できます。 書式 name = value の変数の後にデフォルト・キーワードが続く場合、その変数はデフォルト・システム変数の一部としてリストされます (ntpq rv コマンド)。 これらの追加変数は、情報提供のみを目的としています。 これらは、リストできる他のプロトコルには関連していません。 既知のプロトコル変数は、 setvar メカニズムを使用して定義されたすべての変数をオーバーライドします。 1 つのグループ内のすべての変数の名前は、3 つの固有変数に含まれます。 sys_var_list は、すべてのシステム変数の名前を保持します。 peer_var_list はすべてのピア変数の名前を保持し、 clock_var_list は参照クロック変数の名前を保持します。 |
tinker [ allan allan | dispersion dispersion | freq freq | huffpuff huffpuff | panic パニック | step ステップ | stepout ステップアウト ] | このコマンドは、例外的な状況でいくつかのシステム変数を変更するために使用できます。 これは、構成ファイル内で他の構成オプションよりも前に指定する必要があります。 これらの変数のデフォルト値は、幅広いネットワーク速度と信頼性の期待に対して慎重に最適化されています。 一般的に、予測が困難な複雑な方法で相互作用し、組み合わせによっては何らかの不快な行動を起こす可能性があります。 デフォルト値を変更する必要はめったにありません。 tinker コマンドで使用できるオプションを以下に示します。
|
trap host_address [port port_number] [interface インターフェース・アドレス] | このコマンドは、指定されたホスト・アドレスでトラップ・レシーバーを構成し、指定されたローカル・インターフェース・アドレスでメッセージを送信するためのポート番号を構成します。 ポート番号が指定されていない場合は、値 18447 が使用されます。 インターフェース・アドレスが指定されていない場合、メッセージは、メッセージが送信されるローカル・インターフェースのソース・アドレスと共に送信されます。 マルチホーム・ホストでは、使用されるインターフェースは、ルーティングの変更によって時々変わる可能性があります。 トラップ・レシーバーは通常、サーバーからのイベント・メッセージおよびその他の情報をログ・ファイルに記録します。 このようなモニター・プログラムは、独自のトラップを動的に要求することもできますが、トラップ・レシーバーを構成することで、サーバーの始動時にメッセージが失われないようにすることができます。 |
ttl hop ... | このコマンドは、TTL 値のリストを昇順で指定します。 最大 8 個の値を指定することができます。 マニーキャスト・モードでは、これらの値は拡張リング検索で順番に使用されます。 デフォルトは、31 から始まる 32 の 8 倍です。 |
ファイル
- /etc/ntp.conf
- ファイルへのパスを指定します。