JP1/Cm2/Extensible SNMP Agent
コミュニティ名とは,SNMPプロトコルでMIB値にアクセスするために必要なパスワードです。コミュニティ名のセキュリティは低く,ネットワーク上でオープンに使用されています。
次のような場合に,SNMPエージェントのコミュニティ名を利用すると便利です。
- getコミュニティ名を指定して,不正なマネージャーからのSNMP要求に対するMIB値の参照を抑止したい。
- setコミュニティ名を指定して,不正なマネージャーからのSNMP要求に対するMIB値の更新を抑止したい。
マネージャーとSNMPエージェントのコミュニティ名は,構成定義ファイル(/etc/SnmpAgent.d/snmpd.conf)で設定します。
- <この項の構成>
- (1) コミュニティ名の種類
- (2) コミュニティ名の登録方法
- (3) コミュニティ名の指定方法
- (4) 認証失敗トラップの送信
コミュニティ名には,getコミュニティ名およびsetコミュニティ名があります。これらのコミュニティ名を使い分けることによって,どのSNMP要求に応答するかを決定できます。
- getコミュニティ名
- GetRequestに対するパスワードです。
- getコミュニティ名を使用すると,GetRequestだけに応答します。
- setコミュニティ名
- GetRequestおよびSetRequestの両方に対するパスワードです。
- setコミュニティ名を使用すると,GetRequestおよびSetRequestの両方に応答します。
コミュニティ名は複数登録できます。
SNMPエージェントのインストール時には,getコミュニティ名およびsetコミュニティ名に「public」が設定されています。
デフォルトのgetコミュニティ名を変更する場合の手順を次に示します。
- getコミュニティ名の登録
- setコミュニティ名の登録
- マネージャーへのコミュニティ名の格納
- ネイティブエージェントのコミュニティ名設定(Solarisの場合)
getコミュニティ名を登録する手順を次に示します。
- 構成定義ファイル(/etc/SnmpAgent.d/snmpd.conf)の次の行を検索する。
なお,get-community-name:ラベルはファイルの最終行の近くにあります。
get-community-name: public
- getコミュニティ名を変更する。
提供時は「public」が設定されています。変更する場合,「public」を削除して,SNMPエージェントのgetコミュニティ名をASCII文字列で記述します。複数のgetコミュニティ名を指定したい場合は,行を追加して定義できます。
コミュニティ名の指定方法の詳細については,「2.4.2(3) コミュニティ名の指定方法」を参照してください。
- (例)
get-community-name: public get-community-name: private
- 参考
- すべてのSNMPエージェントに同一のgetコミュニティ名を使用すると便利です。
setコミュニティ名を登録する手順を次に示します。
- 構成定義ファイル(/etc/SnmpAgent.d/snmpd.conf)の次の行を検索する。
なお,#set-community-name:ラベルはファイルの最終行の近くにあります。
#set-community-name: # enter community name
- setコミュニティ名を追加する。
提供時はコメント行となっています。set-community-name:ラベルの前の#と,コメント(#のあとの部分)を削除して,set-community-name:ラべルのあとに,SNMPエージェントのsetコミュニティ名をASCII文字列で記述します。複数のsetコミュニティ名を指定したい場合は,行を追加して定義します。
コミュニティ名の指定方法の詳細については,「2.4.2(3) コミュニティ名の指定方法」を参照してください。
- (例)
set-community-name: private set-community-name: point
- 注意事項
- コミュニティ名の指定について
getコミュニティ名とsetコミュニティ名を同じ名称にする場合には,set-community-name:ラベルだけに指定してください。getコミュニティ名とsetコミュニティ名を別の名称にする場合には,get-community-name:ラベルとset-community-name:ラベルにそれぞれコミュニティ名を指定してください。
- 認証失敗トラップの送信抑止について
SNMPエージェントのコミュニティ名を設定したあとで,認証失敗トラップの送信を抑止したい場合,構成定義ファイル(/etc/srconf/agt/snmpd.cnf)のsnmpEnableAuthenTrapsに「2」を設定してからSNMPエージェントを再起動してください。
認証失敗トラップの送信については,「(4) 認証失敗トラップの送信」を参照してください。
マネージャーのアプリケーションが各SNMPエージェントの正しいコミュニティ名を使用してMIBにアクセスできるようにします。
(d) ネイティブエージェントのコミュニティ名設定(Solarisの場合)
SNMPエージェントが稼働するシステムがSolarisの場合,構成定義ファイル(/etc/snmp/conf/snmpd.conf)にネイティブエージェントのコミュニティ名の設定が必要です。
ネイティブエージェントのコミュニティ名を設定する手順を次に示します。
- ネイティブエージェントのコミュニティ名が設定されていることを確認する。
- Solaris 9の場合
- 構成定義ファイル(/etc/snmp/conf/snmpd.conf)に,次の2行が定義されていることを確認してください。
system-group-read-community public read-community public
- Solaris 10の場合
- 構成定義ファイル(/etc/sma/snmp/snmpd.conf)の次の行が定義されていることを確認してください。
rocommunity public- 定義されていない場合,ネイティブエージェントのコミュニティ名を追加する。
構成定義ファイル(/etc/sma/snmp/snmpd.conf)に手順1の行を追加してください。
コミュニティ名の指定方法について説明します。
getコミュニティ名は,構成定義ファイル(/etc/SnmpAgent.d/snmpd.conf)の次に示す行に指定します。
get-community-name: getコミュニティ名 オプション※注※ オプションの詳細については,「(c) オプション」を参照してください。
- getコミュニティ名を指定すると,指定したコミュニティ名以外からの要求は認証失敗になります。
- getコミュニティ名の指定がない場合,GetRequestに応答しません。ただし,setコミュニティ名が指定されていれば,setコミュニティ名を使用したGetRequestには応答します。
- getコミュニティ名を指定する際は,「:(コロン)」の後ろに,必ず半角スペースを入れてください。
- 構成定義ファイル(/etc/SnmpAgent.d/snmpd.conf)に複数のgetコミュニティ名を設定することで,SNMPエージェントは複数のgetコミュニティ名に応答できます。
setコミュニティ名は,構成定義ファイル(/etc/SnmpAgent.d/snmpd.conf)の次に示す行で指定します。
set-community-name: setコミュニティ名 オプション※注※ オプションの詳細については,「(c) オプション」を参照してください。
- setコミュニティ名の指定がない場合,SNMPエージェントはSetRequestに応答しません。
- setコミュニティ名を指定する際は,「:(コロン)」の後ろに,必ず半角スペースを入れてください。
- マネージャーがMIB値を設定するためには,setコミュニティ名を設定する必要があります。マネージャーは登録済みのsetコミュニティ名を使用して,MIB値を設定します。
- 複数のsetコミュニティ名に応答するように,SNMPエージェントを構成できます。
- 注意事項
- get-community-name:ラベルとset-community-name:ラベルに同じ名称を指定すると,構成定義ファイル(/etc/SnmpAgent.d/snmpd.conf)の下の方に記述された行が有効になります。上からset-community-name:ラベル,get-community-name:ラベルの順に記述すると,その名称はgetコミュニティ名として指定されたものと解釈され,GetRequestにだけ使用できるコミュニティ名となります。この場合,SetRequestでその名前を使用すると認証失敗となります。GetRequestとSetRequestに同じ名称を使用したい場合は,set-community-name:ラベルだけを指定してください。
オプションでIP:とVIEW:が指定できます。
両方を省略するとコミュニティ名はすべてのIPアドレスからの要求を許可します。また,SNMPエージェントがサポートしているすべてのMIBにアクセスできます。
- IP:
- SNMP要求中のコミュニティ名でMIBにアクセス可能なIPアドレスを制限します。MIBにアクセスできるIPアドレスを空白で区切って記述します。ホスト名は指定できません。コミュニティ名とIP:,およびIP:とIPアドレスの間には必ず1文字以上の空白を挿入してください。
- (例)
get-community-name: public IP: 172.16.45.17 172.16.45.18- SNMPエージェントはSNMP要求中のコミュニティ名がpublicの場合,172.16.45.17,172.16.45.18からのSNMP要求だけに応答します。
- VIEW:
- 指定されたコミュニティ名でアクセス可能なMIBを制限します。アクセス可能なサブツリーのオブジェクトID(mib-2の場合の例 1.3.6.1.2.1)を空白で区切って記述します。オブジェクトIDの先頭に「-」を付加するとそのサブツリーにはアクセスできなくなります。コミュニティ名とVIEW:,およびVIEW:とオブジェクトIDの間には1文字以上の空白を挿入してください。また,「-」の前に1文字の空白を挿入してください。
- (例)
get-community-name: public VIEW: 1.3.6.1.2.1 -1.3.6.1.2.1.1- SNMPエージェントはSNMP要求中のコミュニティ名がpublicの場合,1.3.6.1.2.1.1を除いた1.3.6.1.2.1配下のMIBのアクセスを許可します。
- 注意事項
- IP:とVIEW:の同時指定
IP:とVIEW:を同時に指定する場合はIP:を先に指定してください。また,IP:とVIEW:は1行に記述し,改行はしないでください。set-community-name:にも同様にIP:とVIEW:が指定できます。
- AIXの場合のVIEW:指定
ネイティブエージェントが起動時にオブジェクトID「1.3.6.1.4.1.2」配下を参照します。そのため,AIX 5L V5.2以降でVIEWオプションを設定する場合は,「1.3.6.1.4.1.2」配下のMIBのアクセスを許可するように設定してください。
(例)
mib-2配下をアクセス可能なMIBとする場合
get-community-name:public VIEW: 1.3.6.1.2.1 1.3.6.1.4.1.2
- AIXの場合のIP:指定
mib-2配下のMIBを取得する際に,OS提供プロセスからSNMPエージェントに対してSNMPリクエストを送信します。そのため,IPオプションでMIBを応答するIPアドレスを制限した場合,自ホストのIPアドレスを定義する必要があります。AIXのOS提供プロセスと,SNMPエージェントの関係の詳細については,「3.5.2 運用上の注意事項(AIXの場合)」を参照してください。
(例)
マネージャーマシンのIPアドレス:172.16.45.17
SNMPエージェントマシンのIPアドレス:172.16.50.15
上記のIPアドレスを使用して,マネージャーマシンからのSNMPリクエストにだけ応答を制限する場合
get-community-name: public IP: 172.16.45.17 172.16.50.15
マネージャーが誤りまたは無効のコミュニティ名をSNMPエージェントに送信した場合は,認証失敗になります。誤りまたは無効のコミュニティ名を受信すると,認証失敗トラップをマネージャーに送信します。
GetRequestに対してgetコミュニティ名の指定がない場合,SNMPエージェントはどんなコミュニティ名にも応答しません。その場合,SNMPエージェントは認証失敗のトラップを送信します。
All Rights Reserved. Copyright (C) 2009, 2010, Hitachi, Ltd.
Copyright (C) 1993-1998, Hewlett-Packard Company
Copyright (C) 1989-2006, SNMP Research International, Incorporated