Configure SNMPv3 usuários em um cluster
O SNMPv3 é um protocolo seguro quando comparado ao SNMPv1 e ao SNMPv2c. Para utilizar o SNMPv3, tem de configurar um utilizador SNMPv3 para executar os utilitários SNMP a partir do gestor SNMP.
Use o "security login create command" para criar um usuário SNMPv3.
Você é solicitado a fornecer as seguintes informações:
-
ID do motor: O valor predefinido e recomendado é ID do motor local
-
Protocolo de autenticação
-
Palavra-passe de autenticação
-
Protocolo de privacidade
-
Senha do protocolo de privacidade
O utilizador SNMPv3 pode iniciar sessão a partir do gestor SNMP utilizando o nome de utilizador e a palavra-passe e executar os comandos do utilitário SNMP.
SNMPv3 parâmetros de segurança
O SNMPv3 inclui um recurso de autenticação que, quando selecionado, exige que os usuários digitem seus nomes, um protocolo de autenticação, uma chave de autenticação e seu nível de segurança desejado ao invocar um comando.
A tabela a seguir lista os parâmetros de segurança SNMPv3 :
Parâmetro |
Opção de linha de comando |
Descrição |
EngineID |
-E EngineID |
ID do motor do agente SNMP. O valor padrão é local EngineID (recomendado). |
SecurityName |
-U Nome |
O nome de utilizador não deve exceder 32 carateres. |
AuthProtocol |
-A [none |
MD5 |
SHA |
SHA-256] |
O tipo de autenticação pode ser None, MD5, SHA ou SHA-256. |
Authkey |
-UMA FRASE-PASSE |
Frase-passe com um mínimo de oito carateres. |
Segurançanível |
-L [authNoPriv |
authPriv |
noAuthNoPriv] |
O nível de segurança pode ser Autenticação, sem Privacidade; Autenticação, Privacidade; ou sem Autenticação, sem Privacidade. |
PrivProtocol |
aes128 |
O protocolo de privacidade pode ser nenhum, des ou AES128 |
PrivPassword |
Exemplos para diferentes níveis de segurança
Este exemplo mostra como um usuário SNMPv3 criado com diferentes níveis de segurança pode usar os comandos do lado do cliente SNMP, como snmpwalk
, para consultar os objetos do cluster.
Para um melhor desempenho, você deve recuperar todos os objetos em uma tabela em vez de um único objeto ou alguns objetos da tabela.
Você deve usar snmpwalk 5.3.1 ou posterior quando o protocolo de autenticação for SHA.
|
Nível de segurança: AuthPriv
A saída a seguir mostra a criação de um usuário SNMPv3 com o nível de segurança authPriv.
security login create -user-or-group-name snmpv3user -application snmp -authentication-method usm Enter the authoritative entity's EngineID [local EngineID]: Which authentication protocol do you want to choose (none, md5, sha, sha2-256) [none]: md5 Enter the authentication protocol password (minimum 8 characters long): Enter the authentication protocol password again: Which privacy protocol do you want to choose (none, des, aes128) [none]: des Enter privacy protocol password (minimum 8 characters long): Enter privacy protocol password again:
Modo FIPS
security login create -user-or-group-name snmpv3user -application snmp -authmethod usm Enter the authoritative entity's EngineID [local EngineID]: Which authentication protocol do you want to choose (sha, sha2-256) [sha] Enter authentication protocol password (minimum 8 characters long): Enter authentication protocol password again: Which privacy protocol do you want to choose (aes128) [aes128]: Enter privacy protocol password (minimum 8 characters long): Enter privacy protocol password again:
Teste de Snmpwalk
A saída a seguir mostra o usuário SNMPv3 executando o comando snmpwalk:
Para um melhor desempenho, você deve recuperar todos os objetos em uma tabela em vez de um único objeto ou alguns objetos da tabela.
$ snmpwalk -v 3 -u snmpv3user -a SHA -A password1! -x DES -X password1! -l authPriv 192.0.2.62 .1.3.6.1.4.1.789.1.5.8.1.2 Enterprises.789.1.5.8.1.2.1028 = "vol0" Enterprises.789.1.5.8.1.2.1032 = "vol0" Enterprises.789.1.5.8.1.2.1038 = "root_vs0" Enterprises.789.1.5.8.1.2.1042 = "root_vstrap" Enterprises.789.1.5.8.1.2.1064 = "vol1"
Nível de segurança: AuthNoPriv
A saída a seguir mostra a criação de um usuário SNMPv3 com o nível de segurança authNoPriv.
security login create -user-or-group-name snmpv3user -application snmp -authmethod usm -role admin Enter the authoritative entity's EngineID [local EngineID]: Which authentication protocol do you want to choose (none, md5, sha) [none]: md5
Modo FIPS
O FIPS não permite que você escolha nenhum para o protocolo de privacidade. Como resultado, não é possível configurar um usuário authNoPriv SNMPv3 no modo FIPS.
Teste de Snmpwalk
A saída a seguir mostra o usuário SNMPv3 executando o comando snmpwalk:
Para um melhor desempenho, você deve recuperar todos os objetos em uma tabela em vez de um único objeto ou alguns objetos da tabela.
$ snmpwalk -v 3 -u snmpv3user1 -a MD5 -A password1! -l authNoPriv 192.0.2.62 .1.3.6.1.4.1.789.1.5.8.1.2 Enterprises.789.1.5.8.1.2.1028 = "vol0" Enterprises.789.1.5.8.1.2.1032 = "vol0" Enterprises.789.1.5.8.1.2.1038 = "root_vs0" Enterprises.789.1.5.8.1.2.1042 = "root_vstrap" Enterprises.789.1.5.8.1.2.1064 = "vol1"
Nível de segurança: NoAuthNoPriv
A saída a seguir mostra a criação de um usuário SNMPv3 com o nível de segurança noAuthNoPriv.
security login create -user-or-group-name snmpv3user -application snmp -authmethod usm -role admin Enter the authoritative entity's EngineID [local EngineID]: Which authentication protocol do you want to choose (none, md5, sha) [none]: none
Modo FIPS
O FIPS não permite que você escolha nenhum para o protocolo de privacidade.
Teste de Snmpwalk
A saída a seguir mostra o usuário SNMPv3 executando o comando snmpwalk:
Para um melhor desempenho, você deve recuperar todos os objetos em uma tabela em vez de um único objeto ou alguns objetos da tabela.
$ snmpwalk -v 3 -u snmpv3user2 -l noAuthNoPriv 192.0.2.62 .1.3.6.1.4.1.789.1.5.8.1.2 Enterprises.789.1.5.8.1.2.1028 = "vol0" Enterprises.789.1.5.8.1.2.1032 = "vol0" Enterprises.789.1.5.8.1.2.1038 = "root_vs0" Enterprises.789.1.5.8.1.2.1042 = "root_vstrap" Enterprises.789.1.5.8.1.2.1064 = "vol1"