SNMP 暗号化 (プライバシ)

Sun Management Center は、そのサーバとエージェントコンポーネントとの間の SNMP 通信の暗号化をサポートしています。SNMP 暗号化サポートでは、CBC-DES 対称暗号化アルゴリズムが使用されています。

Sun Management Center 上での SNMP 暗号化は、 es-config スクリプトを使用して有効にできます。このスクリプトを使用することによって、自動ネゴシエーション機能をオンまたはオフに設定できます。詳細は、「SNMP 暗号化の有効化」を参照してください。

Solaris 9 以前での暗号化

Solaris 9 以前が動作するシステムの場合、暗号化は、 SUNWcry パッケージに基づいて行われます。

Solaris 9 が動作するシステムの場合は、次のことに注意してください。

• Sun Management Center サーバおよびエージェントホスト両方での SNMP 暗号化は、/usr/lib/libcrypt_d.so 暗号化ライブラリの入っている SUNWcry パッケージに依存します。このパッケージは個別にインストールしてください。

• SUNWcry がインストールされていても、Sun Management Center 3.5 以前のサーバとエージェントは SNMP 暗号化をサポートしません。

• サーバまたはエージェントの設定中に SUNWcry パッケージが検出されると、SNMP 暗号化のサポートが自動的に構成されます。

Solaris 10 での暗号化

Solaris 10 が動作するシステムの場合、暗号化は Public Key Cryptographic Standard (PKCS#11) に基づいて行われます。

PKCS#11 は、暗号化情報を保持し、暗号化機能を実行するデバイスに API (Cryptoki という) を指定します。RSA 定義の PKCS#11 の詳細は、http://www.rsasecurity.com/rsalabs を参照してください。

Solaris 10 が動作するシステムの場合は、次のような条件があります。

• Sun Management Center サーバおよびエージェントホスト両方での SNMP 暗号化は、/usr/lib/libpkcs11.so 暗号化ライブラリの入っている SUNWcsl パッケージに依存します。このパッケージはデフォルトでインストールされます。

• SUNWcsl がインストールされていても、Sun Management Center 3.5 以前のサーバとエージェントは SNMP 暗号化をサポートしません。

• サーバまたはエージェントの設定中に SUNWcsl パッケージが検出されると、SNMP 暗号化のサポートは自動的に構成されます。

Linux での暗号化

Linux が動作するシステムの場合、暗号化は Public Key Cryptographic Standard (PKCS#11) に基づいて行われます。

SNMP 暗号化は、PKCS11_API.so 暗号化ライブラリに基づいて行われます。このライブラリはデフォルトではインストールされません。 /usr/lib/pkcs11 にあるこのライブラリを準備して、pkcs_slot デーモンが暗号化を有効にできるようにする必要があります。

ネゴシエーション機能

暗号化をサポートする Sun Management Center 3.6 は、エージェントが暗号化をサポートするかどうかにかかわらず、エージェントを動的にサポートするように設定できます。この機能のことを「自動ネゴシエーション機能」と呼び、オンまたはオフに設定できます。

自動ネゴシエーション機能をオフに設定している場合、サーバは常に、エージェントとの通信を開始するときに暗号化を使用します。厳密なセキュリティポリシーを使用する環境では、この設定のほうがよいと考えられます。自動ネゴシエーション機能をオフに設定している場合、エージェントは次のように動作します。

• エージェントが暗号化をサポートする場合、エージェントは暗号化された SNMP メッセージを理解します。

• エージェントが暗号化をサポートしない場合、エージェントは暗号化された SNMP メッセージを理解しません。このため、タイムアウトが発生し、「エージェントから応答がありません」というエラーメッセージが返されます。エージェントログにはタイムアウトが記録されます。

自動ネゴシエーション機能をオンに設定している場合、サーバがエージェントとの SNMP 通信を暗号化するのは、エージェントが暗号化をサポートしているときだけです。結果として、次のイベントのいずれかが発生します。

• エージェントが暗号化をサポートする場合、エージェントは暗号化された SNMP メッセージを理解します。

• エージェントが暗号化をサポートしない場合、SNMP メッセージの認証だけが行われ、暗号化は行われません。

SNMP 暗号化の有効化

SNMP 暗号化の現在の状態を表示するには、 コマンドを引数なしで実行します。

サーバのインストール時に SNMP 暗号化を有効にする

手順

1. パッケージがインストールされているかどうかを確認します。

   • (Solaris 9 以前が動作するシステムの場合) 次を入力することによって、/usr/lib/libcrypt_d.so 暗号化ライブラリを含む SUNWcry パッケージがシステムにインストールされていることを確認します。

     % pkginfo | grep SUNWcry

     パッケージがインストールされていれば、次のようなメッセージが表示されます。

     application SUNWcry

     ---

     注 –

     SUNWcry パッケージは Solaris Encryption Kit の一部です。Solaris Encryption Kit を入手する方法については、Sun の販売代理店に問い合わせてください。セキュアなシステムの管理についての詳細は、Solaris のシステム管理マニュアルを参照してください。

     ---

   • (Solaris 10 が動作するシステムの場合) 次を入力することによって、/usr/lib/libpkcs11.so 暗号化ライブラリを含む SUNWcsl パッケージがシステムにインストールされていることを確認します。

     % pkginfo | grep SUNWcsl

     パッケージがインストールされていれば、次のようなメッセージが表示されます。

     application SUNWcsl

   • (Linux が動作するシステムの場合) /usr/lib/pkcs11 にある PKCS11_API.so 暗号化ライブラリを用意し、pkcs_slot デーモンを有効にします。

2. サーバホストからスーパーユーザとして、次のコマンドを実行します。

   # es-config -r

   適切なパッケージが存在することが検出され、すべての Sun Management Center コンポーネントが自動的に停止されて、セキュリティシードの入力が求められます。

3. セキュリティシードを入力します。

   次に、 SNMPv1 コミュニティ文字列の入力が求められます。

4. 暗号化された通信を開始するかどうかの問い合わせがあります。暗号化された通信を開始する場合は y、開始しない場合は n を入力します。

5. 自動ネゴシエーション機能を有効にするかどうかの問い合わせがあります。自動ネゴシエーション機能を有効にする場合は y、無効にする場合は n を入力します。

   自動ネゴシエーション機能の詳細は、「ネゴシエーション機能」を参照してください。