SNMP 加密（保密性）

Sun Management Center 3.5 Update 1 支持对 Sun Management Center 服务器和代理组件之间的通信进行 SNMP 加密。 SNMP 加密支持使用 CBC-DES 对称加密算法。 请注意以下事项：

• 在 Sun Management Center 服务器和代理主机上进行 SNMP 加密取决于 SUNWcry 软件包。 必须单独安装此软件包。

• Sun Management Center 3.5 以及更早期的服务器和代理不支持 SNMP 加密，即使已经安装了 SUNWcry。

• 如果系统检测到 SUNWcry 软件包，则将在设置代理或服务器的过程中自动配置 SNMP 加密支持。

• 如果代理支持 SNMP 加密，则可以在 Sun Management Center 服务器上使用 es-config 启动 SNMP 加密。 您可以使用该脚本来打开或关闭自动协商功能。 有关详细信息，请参见启用 SNMP 加密。

“自动协商”功能

可以将支持加密的 Sun Management Center 3.5 Update 1 服务器设置为动态支持代理，不考虑这些代理是否支持加密。 此功能称为自动协商，可以将其设置为打开或关闭。

如果将自动协商功能设置为关闭，则可以确保在启动与代理的通信时，服务器始终 使用加密。 此设置适用于具有严格的安全性策略要求的环境。 如果将自动协商功能设置为关闭，则：

• 如果代理支持加密，则代理会理解已加密的 SNMP 消息。

• 如果代理不支持加密，则代理无法理解已加密的消息。 因此会出现超时，同时控制台消息显示“代理没有响应”。 超时将被记录在代理日志中。

如果将自动协商功能设置为打开，则仅当代理支持加密时，服务器对其与代理之间的 SNMP 通信进行加密。 结果将发生以下某一个事件：

• 如果代理支持加密，则代理会理解已加密的 SNMP 消息。

• 如果代理不支持加密，则仅验证 SNMP 消息但不会对其进行加密。

启用 SNMP 加密

要查找 SNMP 加密的当前状态，请运行不带变量的 es-config 命令。

为服务器安装启用 SNMP 加密的步骤

1. 键入以下命令，以确认系统中是否已安装包含 /usr/lib/libcrypt_d.so 加密库的 SUNWcry 软件包：

   % pkginfo | grep SUNWcry

   如果该软件包已被安装，则系统显示：

   应用程序 SUNWcry

   ---

   注意：

   SUNWcry 软件包是 Solaris 加密工具包的一部分。 要获取 Solaris 加密工具包，请咨询 Sun 销售代表。 有关管理安全系统的重要信息，请参见 Solaris 系统管理文档。

   ---

2. 以超级用户身份在服务器主机上键入以下命令：

   # es-config -r

   系统检测是否存在 SUNWcry 软件包，并自动停止所有 Sun Management Center 组件。 然后脚本会要求您输入安全性初始化向量。

3. 键入安全性初始化向量。

   脚本要求您输入 SNMPv1 团体字符串。

4. 当系统询问您是否要启动加密通信时，请键入 y 以启动加密通信或键入 n 拒绝启用。

5. 当系统询问您是否要启用自动协商功能时，请键入 y 以启用该功能或键入 n 拒绝启用。

   有关自动协商功能的详细信息，请参见“自动协商”功能。

如果在第一次安装代理后添加或删除了 SUNWcry 软件包，请使用 es-config 脚本为代理启用 SNMP 加密。