其次建立访问VACM_VIEW
,VACM_VIEW
其实就是把mib数据库细分了,比如说interfaces
属于view1,tcp属于view2
再建立VACM_ACCESS,VACM_ACCESS说白了就是把访问具体VACM_VIEW
的读或者写的权利赋予之前建的用户
这样限定特定的用户访问特定的mib对象的策略就建立了
Mib
对象信息发给网管主机就需要知道网管主机的ip和网管主机的接受哪些信息和加密的算法,其中TARGET_ADDRESS
就是ip, TARGET_PARAMETERS
配置哪个用户接受什么信息,用的是什么算法加密来着如何通过手工编辑 /etc/snmpdv3.conf 和 /etc/clsnmp.conf 文件在 SNMPv3 中创建用户。在此情形中将会创建用户 u1。用户 u1 可以得到认证密钥但是不会得到专用密钥(只有您已经安装了 snmp.crypto 文件集,专用密钥才可用)。 ul 的认证密钥要使用 HMac-MD5 协议来创建。在配置好 ul 以后,它会被放到一个组里,然后我们会给那个组定义查看和访问许可权。最后创建 u1 的陷阱条目。/etc/snmpdv3.conf
和 /etc/clsnmp.conf 文件中所用的每个单独的值都不能超过 32 个字节。步骤 1. 创建用户请确定您希望使用哪种安全性协议,是 HMAC-MD5 还是 HMAC-SHA。此情形中使用 HMAC-MD5。 使用 pwtokey 命令来生成认证密钥。根据您使用的认证协议以及是否使用专用密钥,您的输出看上去会有所不同。这些密钥将会用在 /etc/snmpdv3.conf 和 /etc/clsnmp.conf 文件中。用户 u1 使用的命令如下: pwtokey -p HMAC-MD5 -u auth anypass
Word 9.3.230.119
所指定的 IP 地址是运行代理的IP 地址。密码可以是任意密码,但是务必要把它保存在一个安全的地方以供将来使用。输出看上去应该类似于以下: Display of 16 byte HMAC-MD5 authKey:
63960c12520dc8829d27f7fbaf5a0470
Display of 16 byte HMAC-MD5 localized authKey:
b3b6c6306d67e9c6f8e7e664a47ef9a0
利用超级权限,用您最喜欢的文本编辑器打开 /etc/snmpdv3.conf 文件。 按照文件中给定的格式添加一条 USM_USER 条目来创建一个用户。authKey 的值将是用 pwtokey 命令生成的本地化的认证密钥。用户 u1 的此条目如下所示: #---------------------------------------------------------------------------
# USM_USER entries
# Defines a user for the User-based Security Model (USM).
# F
ORMat is:
# userName engineID authProto authKey privProto privKey keyType storageType
#
USM_USER u1 - HMAC-MD5 b3b6c6306d67e9c6f8e7e664a47ef9a0 - - L -
#----------------------------------------------------------------------------userName
是用户名。在该例中就是 u1。 authProto
必须是您创建这些密钥时所用的协议。在该例中就是 HMAC-MD5。 authKey
是使用 pwtokey 命令创建的本地化的认证密钥。 privProto
和 privkey 都没有指定,原因是在此情形中,我们没有使用专用密钥。 keyType
是 L,因为我们使用本地化的认证密钥。保存然后关闭 /etc/snmpdv3.conf 文件。 使用您最喜欢的文本编辑器打开 SNMP 管理器上的 /etc/clsnmp.conf 文件。 按照文件中给定的格式添加新用户。u1 的条目如下: #----------------------------------------------------------------------------------------------------
#
# Format of entries:
# winSnmpName targetAgent admin secName password context secLevel authProto authKey privProto privKey
#
user1 9.3.230.119 SNMPv3 u1 - - AuthNoPriv HMAC-MD5 63960c12520dc8829d27f7fbaf5a0470 - -
#----------------------------------------------------------------------------------------------------winSnmpName
可以是任何值。在使用 clsnmp 命令进行 SNMP 请求时会使用此值。 targetAgent
是运行代理的 IP 地址,创建认证密钥时也曾使用过此 IP 地址。 admin
设成 SNMPv3,因为要发送 SNMPv3 请求。 secName
是要创建的用户名。在该例中就是 u1。 seclevel
设成 AuthNoPriv,因为它被配置成使用认证而不是专用密钥(因此,privProto 和 privKey 没有值)。 authproto
设成创建认证密钥时所使用的认证协议。 authKey
是 pwtokey 命令生成的非本地化密钥。保存并关闭 /etc/clsnmp.conf 文件。步骤 2. 配置组现在必须把用户放到一个组中。如果您已经有一个组,已经配置好所有您希望赋予用户的查看和访问许可权,那么您就可以把此用户放在那个组中。如果您想给此用户一些其它的组都没有的查看和访问许可权,或者如果您根本没有配置任何组,那么就请创建一个组然后把此用户添加进去。要把用户添加到一个新组中,请在 /etc/snmpdv3.conf 文件中创建一个新的条目 VACM_GROUP。 u1 的组条目如下:#--------------------------------------------------------------
# VACM_GROUP entries
# Defines a security group (made up of users or communities)
# for the View-based Access Control Model (VACM).
# Format is:
# groupName securityModel securityName storageType
VACM_GROUP group1 USM u1 -
#--------------------------------------------------------------groupName
可以是任何名称。它成为了您的组名称。在该例中就是 group1。 securityModel
设为 USM,利用 SNMPv3 的安全功能。 securityName
是用户名。在该例中就是 u1。步骤 3. 配置查看和访问许可权必须给刚创建的新组设置查看和访问许可权。通过向 /etc/snmpdv3.conf 文件中添加 VACM_VIEW 和 VACM_ACCESS 条目来设置这些许可权。确定您想让新组拥有哪些查看和访问许可权。
给 /etc/snmpdv3.conf 文件添加 VACM_VIEW 条目来定义该组可以访问哪些 MIB 对象。
在此情形中,group1 能访问 interfaces、tcp、icmp 和 system MIB 子树。然而,我们要限制 group1 对 system MIB 子树内的 sysObjectID MIB 变量的访问。 #----------------------------------------------------------------
# VACM_VIEW entries
# Defines a particular set of MIB data, called a view, for the
# View-based Access Control Model.
# Format is:
# viewName viewSubtree viewMask viewType storageType
VACM_VIEW group1View interfaces - included -
VACM_VIEW group1View tcp - included -
VACM_VIEW group1View icmp - included -
VACM_VIEW group1View system - included -
VACM_VIEW group1View sysObjectID - excluded -
#----------------------------------------------------------------
viewName
是查看的名称。在该例中就是 group1View。 viewSubtree
是您想要授予访问权的 MIB 子树。 viewType
决定查看中是否包括所定义的 MIB 子树。在该例中,包括了所有的子树在内,但是作为 system 子树的一部分的 MIB 变量 sysObjectID 除外。在 /etc/snmpdv3.conf 文件中添加 VACM_ACCESS 条目来定义组对上面指定的 MIB 对象拥有的许可权。给 group1 的是只读访问权。 #-----------------------------------------------------------------------------------------------------------
# VACM_ACCESS entries
# Identifies the access permitted to different security groups
# for the View-based Access Control Model.
# Format is:
# groupName contextPrefix contextMatch securityLevel securityModel readView writeView notifyView storageType
VACM_ACCESS group1 - - AuthNoPriv USM group1View - group1View -
#-----------------------------------------------------------------------------------------------------------
groupName
是组名。在该例中就是 group1。 securityLevel
是所用的安全级别。在此情形中,使用的是认证密钥而不是专用密钥。因此此值被设为 AuthNoPriv。 securityModel
是您使用的安全模型(SNMPv1、SNMPv2c 或 USM)。在此情形中,它被设为 USM 以允许使用 SNMPv3 安全功能。 readView
确定组对哪些 VACM_VIEW 拥有读访问权。在此情形中,给定的是 group1View,它授予 group1 对 group1View VACM_VIEW 条目的读访问权。 writeView
确定组对哪些 VACM_VIEW 拥有写访问权。在此情形中,没有给 group1 写访问权。 notifyView
指定了在由访问表中的条目控制来执行陷阱时所适用的查看名称。注:在有些情况下,一个组可能会需要多个 VACM_ACCESS 条目。如果组中的用户具有不同的认证和专用设置(noAuthNoPriv、AuthNoPriv 或 AuthPriv),就需要有多个 VACM_ACCESS 条目,并相应设置 securityLevel 参数。
步骤 4. 为用户配置陷阱条目通过向/etc/snmpdv3.conf
文件添加 NOTIFY TARGET_ADDRESS
和 TARGET_PARAMETERS 条目就能创建 SNMPv3 中的陷阱条目。TARGET_ADDRESS 条目将指定您希望把陷阱发送到哪里,而 TARGET_PARAMETERS
条目将会使 TARGET_ADDRESS 信息映射到 group1NOTIFY
条目是按缺省配置的。缺省的 NOTIFY 条目如下所示:
NOTIFY notify1 traptag trap
在此情形中,我们使用缺省条目中指定的值 traptag。添加 TARGET_ADDRESS 条目来指定您想把陷阱发送到哪里。 #-------------------------------------------------------------------------------------
# TARGET_ADDRESS
# Defines a management applicat
ion's address and parameters
# to be used in sending notifications.
# Format is:
# targetAddrName tDom
ain tAddress tagList targetParams timeout retryCount storageType
#-------------------------------------------------------------------------------------
TARGET_ADDRESS Target1 UDP 9.3.207.107 traptag trapparms1 - - -
targetAddrName
可以是任何名称。在此情形中,我们使用了 Target1。 tAddress
是组的陷阱应该发送到的 IP 地址tagList
是 NOTIFY 条目中配置的名字。在该例中就是 traptag。 targetParams
可以是任何值。我们使用的是 trapparms1,它会用在 TARGET_PARAMETERS 条目中。
添加 TARGET_PARAMETERS 条目。 #-------------------------------------------------------------------------
# TARGET_PARAMETERS
# Defines the message processing and security parameters
# to be used in sending notifications to a particular management target.
# Format is:
# paramsName mpModel securityModel securityName securityLevel storageType
#-------------------------------------------------------------------------
TARGET_PARAMETERS trapparms1 SNMPv3 USM u1 AuthNoPriv
paramsName
和 TARGET_ADDRESS 条目中的 targetParams 值一模一样,在该例中,此值是 trapparms1。 mpModel
是所用的 SNMP 的版本。 securityModel
是您使用的安全模型(SNMPv1、SNMPv3 或 USM)。在此情形中,它被设为 USM 以允许使用 SNMPv3 安全功能。 securityName
是 USM_USER 条目中指定的用户名,在该例中就是 u1。 securityLevel
被设为 AuthNoPriv,因为我们使用认证密钥而不是专用密钥。步骤 5. 停止和启动 snmpd 守护程序更改完 /etc/snmpdv3.conf 文件后,请先停止然后再启动 snmpd 守护程序。输入以下命令以停止 snmpd 守护程序: stopsrc -s snmpd
输入以下命令以启动 snmpd 守护程序: startsrc -s snmpd
新的设置现在生效了。注:在 SNMPv1 中使用 refresh -s snmpd 简单刷新代理在 SNMPv3 中无效。如果您对 /etc/snmpdv3.conf 文件进行了更改,您必须按上面所指示的那样停止然后再启动守护程序。SNMPv3 中支持的动态配置功能不允许您进行刷新。步骤 6. 测试您的配置要验证您的配置是正确的,您可以在 SNMP 管理器上运行以下命令。clsnmp -h user1 walk mib
其中,mib 是用户能访问的 MIB 子树。在此情形中,它可能是 interfaces、tcp、icmp 或 system。如果配置是正确的,那么您就会在指定的子树中看到信息。如果您没有得到正确的输出,那么请重温一遍本文档中的各步骤,并验证您正确的输入了所有的信息。 
0