Configurare gli utenti SNMPv3 in un cluster
Suggerisci modifiche
PDF
SNMPv3 è un protocollo sicuro rispetto a SNMPv1 e SNMPv2c. Per utilizzare SNMPv3, è necessario configurare un utente SNMPv3 per eseguire le utility SNMP dal gestore SNMP.
Utilizzare il "comando di creazione dell'accesso di sicurezza" per creare un utente SNMPv3.
Viene richiesto di fornire le seguenti informazioni:
-
Engine ID (ID motore): Il valore predefinito e raccomandato è l'ID motore locale
-
Protocollo di autenticazione
-
Password di autenticazione
-
Protocollo di privacy
-
Password del protocollo di privacy
L'utente SNMPv3 può accedere dal gestore SNMP utilizzando il nome utente e la password ed eseguire i comandi dell'utility SNMP.
Parametri di sicurezza SNMPv3
SNMPv3 include una funzionalità di autenticazione che, quando selezionata, richiede agli utenti di inserire i propri nomi, un protocollo di autenticazione, una chiave di autenticazione e il livello di sicurezza desiderato quando si richiama un comando.
Nella tabella seguente sono elencati i parametri di protezione di SNMPv3 :
Parametro |
Opzione della riga di comando |
Descrizione |
ID motore |
-E EngineID |
ID motore dell'agente SNMP. Il valore predefinito è EngineID locale (consigliato). |
SecurityName |
-U Nome |
Il nome utente non deve superare i 32 caratteri. |
AuthProtocol |
-A {none |
MD5 |
SHA |
SHA-256} |
Il tipo di autenticazione può essere None, MD5, SHA o SHA-256. |
Chiave authkey |
-UNA PASSPHRASE |
Passphrase con un minimo di otto caratteri. |
Livello di sicurezza |
-L {authNoPriv |
AuthPriv |
noAuthNoPriv} |
Il livello di protezione può essere autenticazione, Nessuna privacy, autenticazione, privacy o nessuna autenticazione, Nessuna privacy. |
PrivProtocol |
-x { none |
des |
aes128} |
Il protocollo di privacy può essere NONE, des o aes128 |
PrivPassword |
-X password |
Esempi di diversi livelli di sicurezza
Questo esempio mostra come un utente SNMPv3 creato con diversi livelli di sicurezza può utilizzare i comandi lato client SNMP, ad esempio snmpwalk, per eseguire query sugli oggetti del cluster.
Per ottenere prestazioni migliori, è necessario recuperare tutti gli oggetti di una tavola anziché un singolo oggetto o pochi oggetti dalla tavola.
|
È necessario utilizzare snmpwalk 5.3.1 o versione successiva quando il protocollo di autenticazione è SHA.
|
Livello di sicurezza: Authprim
Il seguente output mostra la creazione di un utente SNMPv3 con il livello di sicurezza authprim.
security login create -user-or-group-name snmpv3user -application snmp -authentication-method usm Enter the authoritative entity's EngineID [local EngineID]: Which authentication protocol do you want to choose (none, md5, sha, sha2-256) [none]: md5 Enter the authentication protocol password (minimum 8 characters long): Enter the authentication protocol password again: Which privacy protocol do you want to choose (none, des, aes128) [none]: des Enter privacy protocol password (minimum 8 characters long): Enter privacy protocol password again:
Modalità FIPS
security login create -user-or-group-name snmpv3user -application snmp -authmethod usm Enter the authoritative entity's EngineID [local EngineID]: Which authentication protocol do you want to choose (sha, sha2-256) [sha] Enter authentication protocol password (minimum 8 characters long): Enter authentication protocol password again: Which privacy protocol do you want to choose (aes128) [aes128]: Enter privacy protocol password (minimum 8 characters long): Enter privacy protocol password again:
Test snmpwalk
Il seguente output mostra l'utente SNMPv3 che esegue il comando snmpwalk:
Per ottenere prestazioni migliori, è necessario recuperare tutti gli oggetti di una tavola anziché un singolo oggetto o pochi oggetti dalla tavola.
$ snmpwalk -v 3 -u snmpv3user -a SHA -A password1! -x DES -X password1! -l authPriv 192.0.2.62 .1.3.6.1.4.1.789.1.5.8.1.2 Enterprises.789.1.5.8.1.2.1028 = "vol0" Enterprises.789.1.5.8.1.2.1032 = "vol0" Enterprises.789.1.5.8.1.2.1038 = "root_vs0" Enterprises.789.1.5.8.1.2.1042 = "root_vstrap" Enterprises.789.1.5.8.1.2.1064 = "vol1"
Livello di sicurezza: AuthNoPriv
Il seguente output mostra la creazione di un utente SNMPv3 con il livello di sicurezza autNoPriv.
security login create -user-or-group-name snmpv3user -application snmp -authmethod usm -role admin Enter the authoritative entity's EngineID [local EngineID]: Which authentication protocol do you want to choose (none, md5, sha) [none]: md5
Modalità FIPS
FIPS non consente di scegliere nessuno per il protocollo di privacy. Di conseguenza, non è possibile configurare un utente authNoPrivat SNMPv3 in modalità FIPS.
Test snmpwalk
Il seguente output mostra l'utente SNMPv3 che esegue il comando snmpwalk:
Per ottenere prestazioni migliori, è necessario recuperare tutti gli oggetti di una tavola anziché un singolo oggetto o pochi oggetti dalla tavola.
$ snmpwalk -v 3 -u snmpv3user1 -a MD5 -A password1! -l authNoPriv 192.0.2.62 .1.3.6.1.4.1.789.1.5.8.1.2 Enterprises.789.1.5.8.1.2.1028 = "vol0" Enterprises.789.1.5.8.1.2.1032 = "vol0" Enterprises.789.1.5.8.1.2.1038 = "root_vs0" Enterprises.789.1.5.8.1.2.1042 = "root_vstrap" Enterprises.789.1.5.8.1.2.1064 = "vol1"
Livello di sicurezza: NoAuthNoPriv
Il seguente output mostra la creazione di un utente SNMPv3 con il livello di sicurezza noAuthNoPrimv.
security login create -user-or-group-name snmpv3user -application snmp -authmethod usm -role admin Enter the authoritative entity's EngineID [local EngineID]: Which authentication protocol do you want to choose (none, md5, sha) [none]: none
Modalità FIPS
FIPS non consente di scegliere nessuno per il protocollo di privacy.
Test snmpwalk
Il seguente output mostra l'utente SNMPv3 che esegue il comando snmpwalk:
Per ottenere prestazioni migliori, è necessario recuperare tutti gli oggetti di una tavola anziché un singolo oggetto o pochi oggetti dalla tavola.
$ snmpwalk -v 3 -u snmpv3user2 -l noAuthNoPriv 192.0.2.62 .1.3.6.1.4.1.789.1.5.8.1.2 Enterprises.789.1.5.8.1.2.1028 = "vol0" Enterprises.789.1.5.8.1.2.1032 = "vol0" Enterprises.789.1.5.8.1.2.1038 = "root_vs0" Enterprises.789.1.5.8.1.2.1042 = "root_vstrap" Enterprises.789.1.5.8.1.2.1064 = "vol1"