Sun Management Center 支持 Sun Management Center 服务器和代理组件之间的 SNMP 通信加密。SNMP 加密支持使用 CBC-DES 对称加密算法。
您可以使用 es-config 脚本在 Sun Management Center 服务器中启用 SNMP 加密。您可以使用该脚本来打开或关闭自动协调特性。有关详细信息,请参见启用 SNMP 加密。
对于运行 Solaris 9 或更早版本的系统,加密基于软件包 SUNWcry。
对于运行 Solaris 9 的系统,请注意以下情况:
对 Sun Management Center 服务器和代理主机进行的 SNMP 加密均 依赖于 SUNWcry 软件包,该软件包含有 /usr/lib/libcrypt_d.so 加密库。必须单独安装此软件包。
Sun Management Center 3.5 以及更早期的服务器和代理不支持 SNMP 加密,即使已经安装了 SUNWcry。
如果系统检测到 SUNWcry 软件包,则将在设置代理或服务器的过程中自动配置 SNMP 加密支持。
对于运行 Solaris 10 的系统,加密基于公共密钥加密标准 (PKCS#11)。
PKCS#11 为具有加密信息的设备指定一个 API(称为 Cryptoki)并执行加密功能。有关 RSA 定义的 PKCS#11 的更多信息,请参见 http://www.rsasecurity.com/rsalabs。
对于运行 Solaris 10 的系统,请注意以下情况:
对 Sun Management Center 服务器和代理主机进行的 SNMP 加密均依赖于 SUNWcsl 软件包,该软件包含有 /usr/lib/libpkcs11.so 加密库。默认情况下该软件包已安装。
Sun Management Center 3.5 以及更早期的服务器和代理不支持 SNMP 加密(即使已安装了 SUNWcsl)。
如果系统检测到 SUNWcsl 软件包,则将在设置代理或服务器的过程中自动配置 SNMP 加密支持。
对于运行 Linux 的系统,加密基于公共密钥加密标准 (PKCS#11)。
SNMP 加密依赖于 PKCS11_API.so 加密库。默认情况下,该库没有安装。您必须在 /usr/lib/pkcs11 中提供该库,并启用 pkcs_slot 守护进程来启用加密。
可以将支持加密的 Sun Management Center 3.6 服务器设置为动态支持代理,而不必考虑这些代理是否支持加密。此特性称为自动协调,可以将其设置为打开或关闭。
如果将自动协调特性设置为关闭,则可以确保在启动与代理的通信时,服务器始终使用加密。此设置适用于具有严格的安全性策略要求的环境。如果将自动协调功能设置为关闭,则:
如果代理支持加密,则代理会理解已加密的 SNMP 消息。
如果代理不支持加密,则代理无法理解已加密的消息。因此会出现超时,同时控制台消息显示“代理没有响应”。超时将被记录在代理日志中。
如果将自动协调特性设置为打开,则仅当代理支持加密时,服务器对其与代理之间的 SNMP 通信进行加密。结果将发生以下某一个事件:
如果代理支持加密,则代理会理解已加密的 SNMP 消息。
如果代理不支持加密,则仅验证 SNMP 消息但不会对其进行加密。
要查找 SNMP 加密的当前状态,请运行不带变量的 es-config 命令。
检查软件包是否已安装。
对于运行 Solaris 9 或更早版本的系统,请键入以下命令以检查系统中是否已安装了 SUNWcry 软件包(包含 /usr/lib/libcrypt_d.so 加密库):
% pkginfo | grep SUNWcry |
如果已安装该软件包,则系统显示:
application SUNWcry |
SUNWcry 软件包是 Solaris 加密工具包的一部分。要获取 Solaris 加密工具包,请咨询 Sun 销售代表。有关管理安全系统的重要信息,请参见 Solaris 系统管理文档。
对于运行 Solaris 10 的系统,请键入以下命令以检查系统中是否已安装了 SUNWcsl 软件包(包含 /usr/lib/libpkcs11.so 加密库):
% pkginfo | grep SUNWcsl |
如果已安装该软件包,则系统显示:
application SUNWcsl |
对于运行 Linux 的系统,请确保您在 /usr/lib/pkcs11 中提供了 PKCS11_API.so 加密库,并启用了 pkcs_slot 守护进程。
以超级用户身份在服务器主机上键入以下命令:
# es-config -r |
系统会检测是否存在适当的软件包,并自动停止所有 Sun Management Center 组件。然后脚本会要求您输入安全性初始化向量。
键入安全性初始化向量。
脚本要求您输入 SNMPv1 团体字符串。
当系统询问您是否启动加密通信时,请键入 y 以启动加密通信或键入 n 拒绝启用。
当系统询问您是否要启用自动协调特性时,请键入 y 以启用该特性或键入 y 拒绝启用。
有关自动协调特性的详细信息,请参见“自动协调”特性。