test

Sun Management Center 3.6.1 用户指南

SNMP 加密(保密性)

Sun Management Center 支持 Sun Management Center 服务器和代理组件之间的 SNMP 通信加密。SNMP 加密支持使用 CBC-DES 对称加密算法。

您可以使用 es-config 脚本在 Sun Management Center 服务器中启用 SNMP 加密。您可以使用该脚本来打开或关闭自动协商功能。有关详细信息,请参见启用 SNMP 加密

Solaris 9 或更早版本上的加密

对于运行 Solaris 9 或更早版本的系统,加密基于软件包 SUNWcry

对于运行 Solaris 9 的系统,请注意以下情况:

Solaris 10 上的加密

对于运行 Solaris 10 的系统,加密基于公共密钥加密标准 (PKCS#11)。

PKCS#11 为具有加密信息的设备指定一个 API(称为 Cryptoki)并执行加密功能。有关 RSA 定义的 PKCS#11 的更多信息,请参见 http://www.rsasecurity.com/rsalabs

对于运行 Solaris 10 的系统,请注意以下情况:

Linux 上的加密

对于运行 Linux 的系统,加密基于公共密钥加密标准 (PKCS#11)。

SNMP 加密依赖于 PKCS11_API.so 加密库。默认情况下,该库没有安装。您必须在 /usr/lib/pkcs11 中提供该库,并启用 pkcs_slot 守护进程来启用加密。

“自动协商”功能

可以将支持加密的 Sun Management Center 3.6.1 服务器设置为动态支持代理,而不必考虑这些代理是否支持加密。此功能称为自动协商,可以将其设置为打开或关闭。

如果将自动协调特性设置为关闭,则可以确保在启动与代理的通信时,服务器始终使用加密。此设置适用于具有严格的安全性策略要求的环境。如果将自动协商功能设置为关闭,则:

如果将自动协调特性设置为打开,则仅当代理支持加密时,服务器对其与代理之间的 SNMP 通信进行加密。结果将发生以下某一个事件:

启用 SNMP 加密

要查找 SNMP 加密的当前状态,请运行不带变量的 es-config 命令。

Procedure为服务器安装启用 SNMP 加密的步骤

步骤

  1. 检查软件包是否已安装。

    • 对于运行 Solaris 9 或更早版本的系统,请键入以下命令以检查系统中是否已安装了 SUNWcry 软件包(包含 /usr/lib/libcrypt_d.so 加密库):


      % pkginfo | grep SUNWcry

      如果已安装该软件包,则系统显示:


      应用程序 SUNWcry
      注 –

      SUNWcry 软件包是 Solaris 加密工具包的一部分。要获取 Solaris 加密工具包,请咨询 Sun 销售代表。有关管理安全系统的重要信息,请参见 Solaris 系统管理文档。

    • 对于运行 Solaris 10 的系统,请键入以下命令以检查系统中是否已安装了 SUNWcsl 软件包(包含 /usr/lib/libpkcs11.so 加密库):


      % pkginfo | grep SUNWcsl

      如果已安装该软件包,则系统显示:


      application SUNWcsl

    • 对于运行 Linux 的系统,请确保您在 /usr/lib/pkcs11 中提供了 PKCS11_API.so 加密库,并启用了 pkcs_slot 守护进程。

  2. 以超级用户身份在服务器主机上键入以下命令:


    # es-config -r

    系统会检测是否存在适当的软件包,并自动停止所有 Sun Management Center 组件。然后脚本会要求您输入安全性初始化向量。

  3. 键入安全性初始化向量。

    脚本要求您输入 SNMPv1 团体字符串。

  4. 当系统询问您是否启动加密通信时,请键入 y 以启动加密通信或键入 n 拒绝启用。

  5. 当系统询问您是否要启用自动协调特性时,请键入 y 以启用该特性或键入 y 拒绝启用。

    有关自动协调特性的详细信息,请参见“自动协商”功能