test

Solaris のシステム管理 (システム管理エージェント)

ユーザーの作成と管理

この節では、ユーザーを安全に作成する手順について説明します。システム管理エージェントでは、複数の方法でユーザーを作成できます。システム管理エージェントのインストール後、デフォルトの構成では、新しいユーザーは SNMPv1 および v2c ユーザーになります。

注 –

デフォルトでは、エージェントは SNMPv3 ユーザーを作成するように設定されていません。システム管理エージェントで SNMPv3 ユーザーを作成するには、まず主要 ファイル /etc/sma/snmp/snmpd.conf を編集する必要があります。詳細については、snmpd.conf(4) のマニュアルページを参照してください。

この節の最初の手順、「新しい SNMPv3 ユーザーを作成するには」では、最初の初期ユーザーを新規作成する方法を説明します。その他のユーザーは、この初期ユーザーを複製して作成します。ユーザーの認証やセキュリティーの型も、初期ユーザーから継承できます。これらの型はあとで変更可能です。複製を作成するときは、ユーザーの秘密鍵のデータを設定します。初期ユーザーと、あとで設定するユーザーのパスワードが必要になります。設定済みの初期ユーザーから、同時に複数の複製を作成することはできません。

Procedure新しい SNMPv3 ユーザーを作成するには

この手順で使用される net-snmp-config コマンドは、/etc/sma/snmp/snmpd.conf ファイルに 1 行を追加することにより、初期ユーザーに対し、エージェントへの読み取りおよび書き込みアクセスを許可します。

  1. システム管理エージェントを停止します。


    # svcadm disable -t svc:/application/management/sma:default

  2. 新規ユーザーを作成するには、net-snmp-config コマンドを実行します。


    # /usr/sfw/bin/net-snmp-config --create-snmpv3-user -a "my_password" newuser

    このコマンドは、newuser という新しいユーザーを作成します。パスワードは my_password と同じになります。新しいユーザーの作成には、MD5 とDES の両方を使用します。これらについては、「認証プロトコルアルゴリズム」を参照してください。

    デフォルトでは、これらの設定は、net-snmp-config コマンドを使ってユーザーを作成するとき、特に指定しなくても作成されます。

    auth protocol = MD5 security level = rwuser auth

  3. システム管理エージェントを起動します。


    # svcadm enable svc:/application/management/sma:default

  4. 新しいユーザーが存在するかどうかを確認します。


    # snmpget -v 3 -u newuser -l authNoPriv -a MD5 -A my_password localhost sysUpTime.0
    注 –

    パスワードは 8 文字以上にする必要があります。

    新しいユーザーに読み取りおよび書き込みアクセスを許可することが適切でない場合もあります。新しいユーザーに許可するアクセス権を減らすか変更する場合は、/etc/sma/snmp/snmpd.conf ファイルを編集します。詳細については、snmpd.conf(4) のマニュアルページを参照してください。

Procedureシステムプロンプトを使って新しいユーザーを作成するには

  1. システム管理エージェントを停止します。


    # svcadm disable -t svc:/application/management/sma:default

  2. newuser という名前の新しいユーザーを作成し、my_password というパスワードを設定するには、net-snmp-config コマンドを対話的に使用します。


    # /usr/sfw/bin/net-snmp-config --create-snmpv3-user


    Enter a SNMPv3 user name to create:

  3. 適切なユーザー名を指定します。この例の場合、次のように指定します。


    newuser


    Enter authentication pass-phrase:

  4. 適切なパスワードを入力します。この例の場合、次のように入力します。


    my_password


    Enter encryption pass-phrase:

  5. 認証パスワードを再利用する場合は、Return キーを押します。


    adding the following line to /var/sma_snmp/snmpd.conf:
createUser newuser MD5 "newuser_pass" DES
adding the following line to /etc/sma/snmp/snmpd.conf:
rwuser newuser

    デフォルトでは、これらの設定は、net-snmp-config コマンドを使ってユーザーを作成するとき、特に指定しなくても作成されます。

    auth protocol = MD5

    security level = rwuser auth

  6. システム管理エージェントを起動します。


    # svcadm enable svc:/application/management/sma:default

  7. 新しいユーザーが存在するかどうかを確認します。


    # snmpget -v 3 -u newuser -l authNoPriv -a MD5 -A my_password localhost sysUpTime.0
    注 –

    パスワードは 8 文字以上にする必要があります。

    新しいユーザーに読み取りおよび書き込みアクセスを許可することが適切でない場合もあります。新しいユーザーに許可するアクセス権を減らすか変更する場合は、/etc/sma/snmp/snmpd.conf ファイルを編集します。詳細については、snmpd.conf(4) のマニュアルページを参照してください。

Procedure追加の SNMPv3 ユーザーを安全に作成するには

安全な SNMP で新しいユーザーを作成する場合は、最初に設定した初期ユーザーを複製する方法をお勧めします。この方法では、「新しい SNMPv3 ユーザーを作成するには」で設定したユーザーをコピーします。この方法では、「USM による認証とメッセージプライバシ」で説明した snmpusm コマンドを使用します。詳細については、snmpusm(1M) のマニュアルページを参照してください。

  1. システム管理エージェントが実行中かどうかをチェックします。


    # svcs svc:/application/management/sma:default

    エージェントがまだ起動していない場合は、起動します。


    # svcadm enable svc:/application/management/sma:default

  2. snmpusm コマンドを使って新しいユーザーを作成します。


    # snmpusm -v 3 -u newuser -a MD5 -A my_password -l authNoPriv localhost create lee newuser

    このコマンドでは、lee というユーザーを作成します。この新しいユーザーには、 「新しい SNMPv3 ユーザーを作成するには」で作成したソースユーザー newuser と同じパスワード my_password が与えられます。

  3. 新しいユーザーのパスワードを変更します。


    # snmpusm -v 3 -u lee -a MD5 -A my_password -l authNoPriv localhost passwd my_password lee_password

    このコマンドでは、ユーザー lee に新しいパスワード lee_password が与えられます。デフォルトの auth type は MD5 です。

  4. /etc/sma/snmp/snmpd.conf ファイルを直接編集するか、snmpvacm コマンドを使って、関連する VACM エントリを作成します。

    snmpd.conf ファイルを直接編集する場合は、まずエージェントを一時的に停止する必要があります。


    # svcadm disable -t svc:/application/management/sma:default

  5. lee にアクセスを割り当てます。

    • lee に読み取りおよび書き込みアクセスを許可するには、snmpd.conf ファイルに新しい rwuser 行を追加します。


      rwuser lee

    • lee に読み取り専用アクセスを許可するには、snmpd.conf ファイルに新しい rouser 行を追加します。


      rouser lee

    セキュリティーレベルを指定しなかった場合、デフォルトの authNoPriv が選択されます。詳細については、snmpd.conf(4) または snmpvacm(1M) のマニュアルページを参照してください。

  6. システム管理エージェントを起動します。


    # svcadm enable svc:/application/management/sma:default

  7. この手順が成功したかどうかを確認します。

    新しいユーザーが存在するかどうかを確認します。


    # snmget -v 3 -u lee -a MD5 -A lee_password -l authNoPriv localhost sysUpTime.0

SNMPv3 セキュリティーを使った SNMPv1 および SNMPv2c ユーザーの管理

SNMPv1 および v2c ユーザーのセキュリティー保護には、コミュニティー文字列が使用されます。SMA には、標準 Net-SNMP トークン com2sec が付属しています。com2sec トークンにより、SNMPv1 および v2c のホスト名とコミュニティー文字列のペアをセキュリティー名にマッピングできます。この場合、セキュリティーレベルは noAuthNoPriv になります。 noAuthNoPriv セキュリティーレベルとその他のセ キュリティレベルの詳細については、「USM セキュリティー情報の格納場所」を参照してください。

プロキシ文とセキュリティー

システム管理エージェントでは、プロキシは SNMPv1 および v2c ユーザーに対してのみサポートされます。詳細については、「Solstice Enterprise Agents 要求のプロキシ処理」を参照してください。

グループの作成と管理

SNMP 内で多数のグループを作成すると、これらのグループの管理が非常に複雑になります。多数のグループを作成すると、これらのグループの問題の障害追跡も非常に困難になります。

注 –

snmpd.conf ファイルを編集して、グループやビューを作成した場合、ストレージの型は固定されます。snmpvacm コマンドを使用せず、snmpd.conf ファイルを編集した場合、グループのエントリが固定されます。エントリを削除するには、これらを snmpd.conf ファイルから削除する必要があります。

「VACM によるアクセス制御」 のグループの作成および管理の例を参照してください。