Sun Management Center支援伺服器和Sun Management Center代理程式元件之間的 SNMP 通訊加密。SNMP 加密支援使用 CBC-DES 對稱式加密演算法。
您可以使用 es-config 程序檔在 Sun Management Center 伺服器上啟用 SNMP 加密。使用此程序檔,您可以開啟或關閉自動協商功能。如需詳細資訊,請參閱啟用 SNMP 加密。
在執行 Solaris 9 或更舊版本的系統上,加密是基於套裝模組 SUNWcry。
請注意下列執行 Solaris 9 之系統的情況:
在 Sun Management Center 伺服器和代理程式主機兩者上的加密是依 SUNWcry 套裝模組而定,該套裝模組包含 /usr/lib/libcrypt_d.so 加密程式庫。您必須單獨安裝此套裝軟體。
即使安裝了 SUNWcry,Sun Management Center 3.5 與舊版伺服器和代理程式也不支援 SNMP 加密。
如果系統偵測到 SUNWcry 套裝軟體,則在代理程式或伺服器安裝過程中會自動配置 SNMP 加密支援。
在執行 Solaris 10 的系統上,加密是基於「公開金鑰密碼標準格式」(PKCS#11)。
PKCS#11 會指定一個 API (即 Cryptoki) 到持有密碼資訊的裝置並執行加密功能。如需關於 RSA 定義 PKCS#11 的更多資訊,請至 http://www.rsasecurity.com/rsalabs。
請注意下列執行 Solaris 10 之系統的情況:
在 Sun Management Center 伺服器和代理程式主機兩者上的加密是依 SUNWcsl 套裝模組而定,該套裝模組包含 /usr/lib/libpkcs11.so 加密程式庫。此套裝模組會依預設安裝。
即使安裝了 SUNWcsl,Sun Management Center 3.5 與舊版伺服器和代理程式也不支援 SNMP 加密。
如果系統偵測到 SUNWcsl 套裝模組,則在代理程式或伺服器安裝過程中會自動配置 SNMP 加密支援。
在執行 Linux 的系統上,加密是基於「公開金鑰密碼標準格式」(PKCS#11)。
SNMP 加密是依 PKCS11_API.so 加密程式庫為主。此程式庫並非預設安裝。您必須在 /usr/lib/pkcs11 中提供此程式庫並啟用 pkcs_slot 常駐程式來啟用加密。
支援加密的Sun Management Center 3.6 伺服器可以設置為動態支援代理程式,而不論這些代理程式是否支援加密。此功能稱為自動協商,並可設定為開啟或關閉。
如果將自動協商功能設定為關閉,您要確定啟動與代理程式的通訊時,該伺服器始終會使用加密。具有嚴格安全策略的環境可能更偏好此設定。如果將自動協商功能設定為關閉︰
如果代理程式支援加密,則該代理程式會理解加密的 SNMP 訊息。
如果代理程式不支援加密,則該代理程式不會理解加密訊息。這樣一來,將發生逾時,並且會顯示主控台訊息「代理程式未回應」。逾時將記錄在代理程式記錄中。
如果將自動協商功能設定為開啟,則僅當代理程式支援加密時,伺服器才加密它與該代理程式的 SNMP 通訊。因此,會發生下列事件之一︰
如果代理程式支援加密,則該代理程式會理解加密的 SNMP 訊息。
如果代理程式不支援加密,則僅會認證 SNMP 訊息,而不會進行加密。
若要找到 SNMP 加密的目前狀態,請執行 es-config 指令而不需搭配任何引數。
檢查是否已安裝套裝模組。
(在執行 Solaris 9 或更舊版本的系統) 輸入以下指令確認 SUNWcry 套裝模組 (其包含 /usr/lib/libcrypt_d.so 加密程式庫) 已安裝在系統上:
% pkginfo | grep SUNWcry |
如果已安裝該套裝軟體,則系統會顯示︰
application SUNWcry |
SUNWcry 套裝軟體是 Solaris 加密工具組的一部分。若要取得 Solaris 加密工具組,請洽詢您的 Sun 銷售代表。如需有關管理安全系統的重要資訊,請參閱您的 Solaris 系統管理說明文件。
(在執行 Solaris 10 的系統) 輸入以下指令確認 SUNWcsl 套裝模組 (其包含 /usr/lib/libpkcs11.so 加密程式庫) 已安裝在系統上:
% pkginfo | grep SUNWcsl |
如果已安裝該套裝軟體,則系統會顯示︰
application SUNWcsl |
(在執行 Linux 的系統) 確認您在 /usr/lib/pkcs11 提供 PKCS11_API.so 加密程式庫並啟用 pkcs_slot 常駐程式。
以超級使用者的身份從伺服器主機輸入下列指令:
# es-config -r |
系統會偵測是否有適當的套裝模組存在,並自動停止所有 Sun Management Center 元件。隨後,程序檔會要求提供安全性種子。
鍵入安全性種子。
程序檔會要求提供 SNMPv1 團體字串。
在詢問您是否要初始加密社群時,輸入 y 初始加密社群,或輸入 n 拒絕。
在詢問您是否要啟用自動協商功能時,輸入 y 啟用,或者輸入 n 拒絕。
如需自動協商功能的詳細資訊,請參閱自動協商功能。