|
一、
Agent設(shè)置
1)
創(chuàng)建用戶(密碼不可修改)
創(chuàng)建新用戶用如下命令:
rouser [-s SECMODEL] USER [noauth|auth|priv [OID |
-V VIEW [CONTEXT]]]
rwuser [-s SECMODEL] USER [noauth|auth|priv [OID |
-V VIEW [CONTEXT]]]
只需在snmpd.conf中添加一句:
rwuser taicom priv
這樣就創(chuàng)建了一個(gè)名為”taicom”的user��。
其中”rwuser”是用戶權(quán)限�,有兩種:
rwuser--具有讀寫權(quán)限的用戶�����;
rouser--具有讀權(quán)限的用戶�。
priv是安全級(jí)別�����,一共有三種安全級(jí)別:
noauth --
不認(rèn)證��,不加密����,最低的安全級(jí)別;
auth --
認(rèn)證但不加密�;
priv --
認(rèn)證且加密,最高的安全級(jí)別����。
然后在用戶下面設(shè)置認(rèn)證和加密密碼:
createUser taicom
MD5 123456789 DES 123456789
MD5為認(rèn)證的協(xié)議,現(xiàn)支持兩種:HMAC-SHA-96和HMAC-MD5-96��,SHA要優(yōu)于MD5�。
DES為加密協(xié)議,現(xiàn)支持兩種:CBC-DES和CFB-AES-128����,AES要優(yōu)于DES�����。
如果加密密碼缺省��,則默認(rèn)加密密碼同認(rèn)證密碼相同�。
注意:加密和認(rèn)證密碼最少為8個(gè)字符����!
這種方式創(chuàng)建的用戶密碼為明文,不可修改�����,用于調(diào)試�。
通過(guò)snmpusm動(dòng)態(tài)創(chuàng)建v3用戶:
V3的認(rèn)證密碼用MD5/SHA摘要算法加密,用snmpusm動(dòng)態(tài)創(chuàng)建新用戶���,需要首先創(chuàng)建一個(gè)用戶的模板����,然后在根據(jù)模板創(chuàng)clone新用戶�����,詳細(xì)命令見(jiàn)man手冊(cè)��。usmUserTable(OID
1.3.6.1.6.3.15.1.2.2)表定義了對(duì)snmpv3的用戶的操作��,snmpusm就是通過(guò)操作usmUserTable中的子葉實(shí)現(xiàn)�。
首先,在/usr/local/etc/snmp/snmpd.conf中創(chuàng)建一個(gè)用戶模板����,可以規(guī)定他的權(quán)限和加密方式,如:rwuser admin
priv����。然后,創(chuàng)建/var/net-snmp/snmpd.conf文件(已存在則先kill掉snmpd再刪除snmpd.conf)��,在其中添加密碼�����,如:createUser admin MD5 "administrator" DES
administrator�,然后保存退出。啟動(dòng)snmpd后明文密碼變成摘要形式,可以對(duì)usmUserSecurityName節(jié)點(diǎn)walk來(lái)查看��。這里也可以用net-snmp-config
–create-snmpv3-user來(lái)實(shí)現(xiàn)�。
用snmpusm創(chuàng)建新用戶,找好用戶模板��,用命令:
snmpusm -v3 -u admin -n "" -l authPriv -a MD5 -A administrator -x
DES -X administrator 192.168.8.69
create wow admin
這樣�����,就創(chuàng)建了一個(gè)名為”wow”的新用戶����,加密方式和密碼都和admin一樣,然后修改密碼���。
snmpusm
[OPTIONS]
[-Ca]
[-Cx]
passwd
OLD-PASSPHRASE
NEW-PASSPHRASE [USER]
用命令snmpusm
-v3 -u admin -n "" -l authPriv -a MD5 -A administrator -x DES -X
administrator 192.168.8.69 -Cx administrator 123456789 wow
修改加密密碼為123456789.
-Ca
為修改認(rèn)證密碼
-Cx
為修改加密密碼
密碼修改完成后�,在/usr/local/etc/snmp/snmpd.conf文件的最下面插入一行新用戶的設(shè)置���,rwuser
wow priv����,然后restart snmpd��,新用戶即生效。對(duì)已生效的用戶修改密碼即時(shí)生效��。
2)
權(quán)限管理
在創(chuàng)建用戶的同時(shí)�,還能指定用戶的視圖權(quán)限���。
首先���,創(chuàng)建一個(gè)視圖組,如:
80
#
incl/excl
subtree
mask
81 view
all
included
.1
80
82 view
info
include
.
1.3.6.1.4.1.833.29.1.1
這樣�,info組只能瀏覽1.3.6.1.4.1.833.29.1.1的子樹(shù),將視圖組添加到用戶后面�,可以設(shè)置該用戶的視圖權(quán)限,如:
rwuser
taicom priv –V info
同樣可以用OID來(lái)限定視圖權(quán)限��,如:
rwuser
taicom priv .
1.3.6.1.4.1.833.29.1.1
也可以用同樣的方法設(shè)置CONTEXT來(lái)指定視圖權(quán)限��。
在設(shè)置好用戶后�����,就可以用新用戶來(lái)管理agent端了���。
二���、
Trap設(shè)置
1)
創(chuàng)建trap用戶
Linux:
創(chuàng)建snmptrapd.conf配置文件并修改�����,添加如下內(nèi)容:
1 createUser -e
0x8000000001020304 traptest SHA mypassword AES
2 authuser log traptest
命令作用同snmpd.conf一樣��,-e 0x8000000001020304是engineID,是snmpv3的新概念����,在連接的時(shí)候會(huì)自動(dòng)發(fā)現(xiàn)�����,每對(duì)manager和agent都有唯一的engineID����,用MIB-Browser連接后會(huì)有一個(gè)response,如:
Response:
User profile name:
admin
Security user name:
admin
Security engine ID:
80.00.1F.88.80.6E.F5.A9.C2.00.00.5F.31 (hex)
Context name:
(zero-length)
Context engine ID:
80.00.1F.88.80.6E.F5.A9.C2.00.00.5F.31 (hex)
Authentication protocol:
HMAC MD5
Privacy protocol:
CBC DES
Security level:
Authentication And Privacy
Security model:
USM
1: sysUpTimeInstance
(timeticks)
0 days 00h:41m:02s.29th (246229)
engineID是一個(gè)十六進(jìn)制的字符串����。
Windows:
用MIB-Browser創(chuàng)建trap用戶,打開(kāi)MIB
Browser Perferences��,如圖:
點(diǎn)擊Edit
User編輯trap用戶:
如同創(chuàng)建v3用戶一樣���,配置好后保存�����。
1)
測(cè)試trap
Linux:
啟動(dòng)snmptrapd:
sudo /usr/local/sbin/snmptrapd -f -C -Le -c
/usr/local/share/snmp/snmptrapd.conf
發(fā)送trap命令:
snmptrap -v 3 -n "" -a SHA -A mypassword -x AES -X
mypassword -l authPriv -u traptest -e 0x8000000001020304 localhost
40 coldStart.0
顯示:
發(fā)送成功.
Windows:
啟動(dòng)目標(biāo)板上的snmpd�����,調(diào)用send_trap函數(shù)����,查看trap版本:
發(fā)送成功�。
|
