- 论坛徽章:
- 0
|
在AIX 5.2环境里,系统启动时默认运行的SNMP代理服务是非加密的SNMPv3版本,SNMPv3使用/etc/snmpdv3.conf文件作为它的配置文件,而在AIX 5.1及以前版本的操作系统使用的是SNMPv1版本,相应的配置文件是/etc/snmpd.conf,因此你在/etc/snmpd.conf文件里配置的任何参数需要手动地迁移到/etc/snmpdv3.conf文件里。
在这篇文档里,在/etc/snmpd.conf文件里配置的communities和traps将被迁移到/etc/snmpdv3.conf文件里,在完成了迁移后,SNMPv3将提供原来SNMPv1相同的功能。如果你根本没有配置任何你自己的SNMPv1的communities或traps,你不需要做下面的操作。
下面的文件是一个将要被迁移的例子文件/etc/snmpd.conf,有三个域(communities)daniel,vasu和david被配置,这些域必须被手动迁移。
logging file=/usr/tmp/snmpd.log enabled
logging size=0 level=0
community daniel 0.0.0.0 0.0.0.0 readWrite 1.17.35
community vasu 9.3.149.49 255.255.255.255 readOnly 10.3.5
community david 9.53.150.67 255.255.255.255 readWrite 1.17.35
view 1.17.35 udp icmp snmp 1.3.6.1.2.1.25
view 10.3.5 system interfaces tcp icmp
trap daniel 9.3.149.49 1.17.35 fe
trap vasu 9.3.149.49 10.3.5 fe
trap david 9.53.150.67 1.17.35 fe
smux 1.3.6.1.4.1.2.3.1.2.3.1.1 sampled_password # sampled
在开始执行操作之前,首先要作一份文件的备份,然后继续下面的步骤:
第一步:迁移域(community)信息
在/etc/snmpd.conf文件里的域的名字要变成/etc/snmpdv3.conf的VACM_GROUP条目的一部分,每一个域必须放进一个组里,然后你将给这些组所需的查看和访问的权限。
1.以root用户的权限使用你喜爱的编辑器打开/etc/snmpdv3.conf文件,找到VACM_GROUP条目;
2.为你想要迁移的每一个域建立一个VACM_GROUP条目,如果多个域准备共享相同的查看和访问权限,你只需要为它们建立一个组。在etc/snmpd.conf文件里的域名字变成了VACM_GROUP里securityName值,在本篇中,下面的条目为vasu,daniel和david被加入:
#--------------------------------------------------------------------
# VACM_GROUP entries
# Defines a security group (made up of users or communities)
# for the View-based Access Control Model (VACM).
# Format is:
# groupName securityModel securityName storageType
VACM_GROUP group2 SNMPv1 vasu -
VACM_GROUP group3 SNMPv1 daniel -
VACM_GROUP group3 SNMPv1 david -
#--------------------------------------------------------------------
注意:groupName能够是除了group1以外的任何值;在本篇里,daniel和david在/etc/snmpd.conf里共享相同的查看和访问权限,因此它们都是在/etc/snmpdv3.conf文件里group3组里的成员。
第二步:迁移查看信息
在/etc/snmpd.conf文件里的查看信息将变成/etc/snmpdv3.conf文件里的COMMUNITY, VACM_VIEW和VACM_ACCESS条目. 这些条目将决定着每一组的查看和访问权限。
1.为daniel, vasu和david建立COMMUNITY条目, 并且为netAddr和netMask保持与在etc/snmpd.conf文件里相同的IP地址。
#----------------------------------------------------------------------
# COMMUNITY
# Defines a community for community-based security.
# Format is:
# communityName securityName securityLevel netAddr netMask storageType
COMMUNITY public public noAuthNoPriv 0.0.0.0 0.0.0.0 -
COMMUNITY daniel daniel noAuthNoPriv 0.0.0.0 0.0.0.0 -
COMMUNITY vasu vasu noAuthNoPriv 9.3.149.49 255.255.255.255 -
COMMUNITY david david noAuthNoPriv 9.53.150.67 255.255.255.255 - #------------------------------------------------------------------------
2.为每个组有权使用的每一个MIB目标或者变量建立VACM_VIEW条目,依照/etc/snmpd.conf文件,daniel和david有权使用udp, icmp, snmp和 1.3.6.1.2.1.25 (主机子树在RFC 1514里定义), 然而vasu有权使用system, interfaces, tcp和icmp。 这些查看条目被迁移到 /etc/snmpdv3.conf 文件里,如下所示:
#--------------------------------------------------------------------
# VACM_VIEW entries
# Defines a particular set of MIB data, called a view, for the
# View-based Access Control Model.
# Format is:
# viewName viewSubtree viewMask viewType storageType
VACM_VIEW group2View system - included -
VACM_VIEW group2View interfaces - included -
VACM_VIEW group2View tcp - included -
VACM_VIEW group2View icmp - included -
VACM_VIEW group3View udp - included -
VACM_VIEW group3View icmp - included -
VACM_VIEW group3View snmp - included -
VACM_VIEW group3View 1.3.6.1.2.1.25 - included
#-----------------------------------------------------
3.通过增加VACM_ACCESS条目来为在VACM_VIEW条目里定义的MIB变量来定义访问权限。在/etc/snmpd.conf文件里,daniel和david都有对它们的MIB变量读写的权限,然而vasu只有只读权限。
#----------------------------------------------------------------------# VACM_ACCESS entries
# Identifies the access permitted to different security groups
# for the View-based Access Control Model.
# Format is:
#groupName contextPrefix contextMatch securityLevel securityModel readView writeView notifyView storageType
VACM_ACCESS group1 - - noAuthNoPriv SNMPv1 defaultView - defaultView -
VACM_ACCESS group2 - - noAuthNoPriv SNMPv1 group2View - group2View -
VACM_ACCESS group3 - - noAuthNoPriv SNMPv1 group3View group3View group3View
#-----------------------------------------------------------
第三步:迁移trap信息
在/etc/snmpd.conf文件里的trap条目在/etc/snmpdv3.conf文件里将变成NOTIFY, TARGET_ADDRESS和TARGET_PARAMETERS条目,可是只有TARGET_ADDRESS和TARGET_PARAMETERS将需要被迁移。
1./etc/snmpd.conf文件里在trap条目里列出的IP地址变成了/etc/snmpdv3.conf文件里的TARGET_ADDRESS条目的一部分. 这一行指定trap发出的主机,你能够定义targetParams条目。在本篇里我们使用在TARGET_PARAMETERS条目里定义的trapparms1, trapparms2, trapparms3和 trapparms4。
#----------------------------------------------------------------------
# TARGET_ADDRESS
# Defines a management application's address and parameters
# to be used in sending notifications.
# Format is:
# targetAddrName tDomain tAddress tagList targetParams timeout retryCount storageType
TARGET_ADDRESS Target1 UDP 127.0.0.1 traptag trapparms1 - - -
TARGET_ADDRESS Target2 UDP 9.3.149.49 traptag trapparms2 - - -
TARGET_ADDRESS Target3 UDP 9.3.149.49 traptag trapparms3 - - -
TARGET_ADDRESS Target4 UDP 9.53.150.67 traptag trapparms4 - - -
#----------------------------------------------------------------------
2./etc/snmpd.conf文件里在trap条目里列出的域名变成了/etc/snmpdv3.conf文件里的TARGET_PARAMETERS条目的一部分.域名必须使用targetParams值对应到一个特定的TARGET_ADDRESS条目。例如域daniel对应到etrapparms2, 在 TARGET_ADDRESS条目下, 对应到IP地址 9.3.149.49,域daniel和IP地址 9.3.149.49原来是/etc/snmpd.conf文件里的一个条目,看下面的例子:
#----------------------------------------------------------------------
# TARGET_PARAMETERS
# Defines the message processing and security parameters
# to be used in sending notifications to a particular management target.
# Format is:
# paramsName mpModel securityModel securityName securityLevel storageType
TARGET_PARAMETERS trapparms1 SNMPv1 SNMPv1 public noAuthNoPriv -
TARGET_PARAMETERS trapparms2 SNMPv1 SNMPv1 daniel noAuthNoPriv -
TARGET_PARAMETERS trapparms3 SNMPv1 SNMPv1 vasu noAuthNoPriv -
TARGET_PARAMETERS trapparms4 SNMPv1 SNMPv1 david noAuthNoPriv
#----------------------------------------------------------------------
第四步:迁移smux信息
如果你有需要迁移的smux信息,你可以直接拷贝那些行到新文件里。在本篇里,例子中smux条目被配置在/etc/snmpd.conf文件里,那行必须被复制到/etc/snmpdv3.conf文件里。
#----------------------------------------------------------------------
# smux
smux 1.3.6.1.4.1.2.3.1.2.3.1.1 sampled_password # sampled
#----------------------------------------------------------------------
第五步:停止并重新启动snmpd 程序
在完成了从 /etc/snmpd.conf 文件到 /etc/snmpdv3.conf 文件的移植后,需要停止并重新启动snmpd程序( 每次对/etc/snmpdv3.conf文件修改后都需要停止并重新启动snmpd程序)。
1.输入如下命令来停止snmpd程序:
stopsrc -s snmpd
2.输入如下命令来重新启动snmpd程序:
startsrc -s snmpd
本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u/17749/showart_103578.html |
|
免费注册
发表于 2006-04-22 22:35