NTP Autokey IFF не работает должным образом

А) ЦЕЛЕВАЯ АРХИТЕКТУРА

У нас есть проект, в котором целевая архитектура синхронизации времени NTP следующая:

• Серверы Stratum 1 предоставляются заказчиком.
• Серверы Stratum 2: предоставленные нами устройства Spectracom SecureSync.
• Уровень 3: машины конечных пользователей.

Вся синхронизация NTP должна быть аутентифицирована с помощью Autokey IFF.

Б) КОНФИГУРАЦИЯ ТЕСТОВОЙ ЛАБОРАТОРИИ

В нашей лаборатории мы моделируем целевую архитектуру на следующих трех машинах:

• Сервер уровня 1 "vm-centos7-srv": виртуальная машина CentOS 7 с ntpd 2.4.6, использующая локальные часы в качестве эталона.
• Сервер Stratum 2 «ntpsrv»: устройство Spectracom SecureSync 1200.
• Клиент уровня 3 "vm-centos7-cli": виртуальная машина CentOS 7 с ntpd 2.4.6.

В терминологии Autokey машины выполняют следующие роли:

• vm-centos7-srv: server and Trusted Host (TH) -> создает ключ группы IFF.
• ntpsrv: server (not TH) -> имеет копию ключа группы IFF "vm-centos7-srv".
• vm-centos7-cli: client -> имеет копию общедоступных параметров IFF "vm-centos7-srv".

Машины синхронизируются правильно и не сообщают об ошибках. Однако для vm-centos7-cli не установлен флаг IFF, т.е. он имеет «flags = 0x87f03» вместо ожидаемого «flags = 0x87f23».

Кроме того, если мы удалим все ключи (хост и группу) на «vm-centos7-srv», сгенерируем все заново и перезапустим ntpd, другие машины продолжат синхронизацию, аутентификацию и доверие этому хосту. Это означает, что аутентификация Autokey бесполезна, поскольку любой мошеннический сервер может выдавать себя за машину уровня 1.

В) УПРОЩЕННАЯ АРХИТЕКТУРА

При упрощении конфигурации путем синхронизации «vm-centos7-cli» напрямую с «vm-centos7-srv» флаг IFF устанавливается на «vm-centos7-cli». Флаги становятся 0x417f21 (не знаю, почему префикс другой, 41 вместо 8). Однако в этом случае, даже когда файл параметров группы удален с клиента и перезапущен ntpd, флаги остаются прежними, хотя IFF не должен работать.

Конфигурация обеих виртуальных машин CentOS 7 была выполнена согласно официальной странице ntpd: http://support.ntp.org/bin/view/Support/ConfiguringAutokey

Параметр "-c RSA-SHA1" был добавлен к командам ntp-keygen.

Г) ВОПРОСЫ

• Жизнеспособна ли целевая архитектура (например, 1 группа IFF с TH / сервером / клиентом)?
• В полной архитектуре, почему клиент не может завершить аутентификацию IFF?
• Почему не-TH сервер все еще аутентифицируется и синхронизируется, когда ключи на TH изменились?
• Почему в упрощенной архитектуре у клиента включен бит IFF, даже если для него не настроены параметры группы IFF?
• Что означают первые цифры во флагах? Документируются только 4 последние цифры, а не первые 1 или 2.

Извините за эту стену текста и заранее благодарим за любую информацию и помощь.