man/network
man · Ağ

$ snmpusm

Bölüm 1 ·

bir ağ varlığı üzerinde SNMPv3 kullanıcıları oluşturur ve bunların bakımını yapar

Kullanım Şekli

       snmpusm [COMMON OPTIONS] [-Cw] AGENT create USER [CLONEFROM-USER]
       snmpusm [COMMON OPTIONS] AGENT delete USER
       snmpusm [COMMON OPTIONS] AGENT cloneFrom USER CLONEFROM-USER
       snmpusm [COMMON OPTIONS] [-Ca] [-Cx] AGENT passwd OLD-PASSPHRASE NEW-PASSPHRASE [USER]
       snmpusm [COMMON OPTIONS] <-Ca | -Cx> -Ck AGENT passwd OLD-KEY-OR-PASSPHRASE NEW-KEY-OR-
       PASSPHRASE [USER]
       snmpusm [COMMON OPTIONS] [-Ca] [-Cx] AGENT changekey [USER]

Açıklama

snmpusm, bir SNMP ajanının bilinen kullanıcıları üzerinde, ajanın Kullanıcı Tabanlı Güvenlik Modülü (USM) tablosunu manipüle ederek basit bakım işlemleri gerçekleştirmek için kullanılabilen bir SNMP uygulamasıdır. Kullanıcının usmUserTable MIB tablosuna yazma erişimi olması gerekir. Bu araç; çalışan bir SNMP ajanı üzerinde yapılandırılmış kullanıcıları oluşturmak, silmek, klonlamak ve bunların parola ifadelerini (passphrase) değiştirmek için kullanılabilir.

Seçenekler

Tüm snmpusm komutları için ortak seçenekler:

-CE ENGINE-ID usmUserTable indeksinin bir parçası olarak kullanılacak usmUserEngineID değerini ayarlar. Varsayılan, usmUserEngineID olarak contextEngineID ( -E aracılığıyla ayarlanan veya sorgulanan) değerini kullanmaktır.

-Cp STRING (Yeni) kullanıcının usmUserPublic değerini belirtilen STRING (dizi) değerine ayarlar.

passwd ve changekey komutları için seçenekler:

  • -Ca: Kimlik doğrulama (authentication) anahtarını değiştirir.

  • -Cx: Gizlilik (privacy) anahtarını değiştirir.

  • -Ck: Parola ifadesi yerine yerelleştirilmiş anahtar (0x ile başlamalıdır) kullanılmasına izin verir. Bu seçenek kullanıldığında, -Ca veya -Cx seçeneklerinden biri (ikisi birden değil) de kullanılmalıdır.

Creating Users

Kimlik doğrulaması yapılmamış bir SNMPv3 kullanıcısı şu komut kullanılarak oluşturulabilir:

snmpusm [OPTIONS] AGENT create USER

Bu, usmUserTable içinde kimlik doğrulama veya gizlilik ayarları olmayan (etkin olmayan) bir girdi oluşturur. İlke olarak bu kullanıcının 'noAuthNoPriv' istekleri için kullanılabilir olması gerekir, ancak uygulamada Net-SNMP ajanı böyle bir girdinin etkinleştirilmesine izin vermez. Kullanıcı, bunun yerine -Ca bayrağı kullanılarak createAndWait işlemi aracılığıyla oluşturulabilir. Bu, kullanıcının daha sonra activate komutuyla açıkça etkinleştirilene kadar herhangi bir ajanda etkin olarak işaretlenmesini engeller.

Bu girdiyi etkinleştirmek için, şu komutu kullanarak mevcut bir kullanıcıyı "klonlamak" gerekir:

snmpusm [OPTIONS] AGENT cloneFrom USER CLONEFROM-USER

Böylece USER girdisi, CLONEFROM kullanıcısıyla aynı kimlik doğrulama ve gizlilik ayarlarını (parola ifadeleri dahil) miras alır.

Bu iki adım, şu komut kullanılarak tek bir adımda birleştirilebilir:

snmpusm [OPTIONS] AGENT create USER CLONEFROM-USER

create alt komutunun her iki biçimi de oluşturulmakta olan kullanıcının halihazırda mevcut olmamasını gerektirir. cloneFrom alt komutu ise üzerine klonlama yapılacak kullanıcının halihazırda mevcut olmasını gerektirir.

Klonlama, belirli bir kullanıcı için hangi kimlik doğrulama ve gizlilik protokollerinin kullanılacağını belirtmenin tek yoludur ve bu işlem yalnızca bir kez yapılabilir. Aynı kullanıcı üzerine yeniden klonlama yapmaya yönelik sonraki girişimler başarılı gibi görünmekle birlikte sessizce yoksayılacaktır. Bu (biraz beklenmedik) davranış, SNMPv3 USM spesifikasyonları (RFC 3414) tarafından zorunlu kılınmıştır. Belirli bir kullanıcının kimlik doğrulama ve gizlilik ayarlarını değiştirmek için, kullanıcı girdisini silmek ve yeniden oluşturmak gerekir. Sadece parola ifadelerini değiştirmek için bu işlem gerekli değildir (aşağıya bakın). Bu, ajanın her bir kimlik doğrulama ve gizlilik protokolü kombinasyonu için en az bir kullanıcıyla başlatılması gerektiği anlamına gelir. createUser yapılandırma yönergesinin ayrıntıları için snmpd.conf(5) kılavuz sayfasına bakın.

Deleting Users

Bir kullanıcı, şu komut kullanılarak usmUserTable tablosundan silinebilir:

snmpusm [OPTIONS] AGENT delete USER

Changing Pass Phrases

Kullanıcı profilleri, hat üzerinden asla düz metin olarak iletilmeyen özel anahtarlar içerir (yönetim isteklerinin şifrelenip şifrelenmediğine bakılmaksızın). Bir kullanıcının gizli anahtarını değiştirmek için, kullanıcının eski parola ifadesinin yanı sıra yenisini de belirtmek gerekir. Bunun için şu komut kullanılır:

snmpusm [OPTIONS] [-Ca] [-Cx] AGENT passwd OLD-PASSPHRASE NEW-PASSPHRASE [USER]

Uygun şablondan yeni bir kullanıcı girdisi klonladıktan sonra, yeni kullanıcının parola ifadesini hemen değiştirmelisiniz.

Eğer USER belirtilmezse, bu komut komutu çalıştıran (SNMPv3) kullanıcının parola ifadesini değiştirecektir. -Ca veya -Cx seçenekleri belirtilirse, yalnızca kimlik doğrulama veya gizlilik anahtarları değiştirilir. Bu seçenekler belirtilmezse, hem kimlik doğrulama hem de gizlilik anahtarları değiştirilir.

snmpusm [OPTIONS] [-Ca] [-Cx] AGENT changekey [USER]

Bu komut, bir Diffie-Hellman değişimi yoluyla anahtarı kusursuz gizlilik (perfect forward secrecy) ile uyumlu bir şekilde değiştirir. Bu komutun çalışması için uzak ajanın SNMP-USM-DH-OBJECTS-MIB nesnesini desteklemesi gerekir. Elde edilen anahtarlar konsola yazdırılır ve gelecekteki komut çağrılarında --defAuthLocalizedKey ve --defPrivLocalizedKey seçenekleri kullanılarak veya snmp.conf dosyanızda defAuthLocalizedKey ve defPrivLocalizedKey anahtar kelimeleri kullanılarak ayarlanabilir.

Bu anahtarlar bir Diffie-Hellman değişimine dayalı olarak rastgele oluşturulduğundan, artık daha kolay yazılabilen bir şifreden türetilmezler. Ancak, çok daha güvenlidirler.

Yerelleştirilmiş bir anahtardan tekrar bir şifreye dönmek için, passwd alt komutunun aşağıdaki varyantı kullanılır:

snmpusm [OPTIONS] <-Ca | -Cx> -Ck AGENT passwd OLD-KEY-OR-PASSPHRASE NEW-KEY-OR- PASSPHRASE [USER]

-Ca veya -Cx seçeneklerinden birinin belirtilmesi zorunludur. OLD-KEY-OR-PASSPHRASE ve/veya NEW-KEY-OR-PASSPHRASE argümanları bir parola ifadesi veya "0x" ile başlayan yerelleştirilmiş bir anahtar (örneğin changekey alt komutu tarafından yazdırılan biçimde) olabilir.

snmpusm komutunun, snmpcmd(1) kılavuz sayfasında açıklandığı gibi sorgulanacak ajanı belirten bir argüman GEREKTİRDİĞİNİ unutmayın.

Examples

       Örneklerimiz için, bir Net-SNMP ajanı için snmpd.conf dosyasında aşağıdaki VACM ve USM
       yapılandırma satırlarının bulunduğunu varsayalım. Bu satırlar, bir ajanın ilk kurulumunu
       gerçekleştirebilmemiz için "setup_passphrase" kimlik doğrulama parolasına sahip "initial"
       adında varsayılan bir kullanıcı ayarlar:

	      # VACM configuration entries
	      rwuser initial
	      # lets add the new user we'll create too:
	      rwuser wes
	      # USM configuration entries
	      createUser initial MD5 setup_passphrase DES

       Not: "initial" kullanıcısının kurulumu, bu örnekte oluşturacağımız "wes" kullanıcısı gibi,
       yönetici ayrıcalıkları atadığınız gerçek bir kullanıcıyı oluşturduktan sonra kaldırılmalıdır.

       Not: Parola ifadeleri en az 8 karakter uzunluğunda olmalıdır.

   Yeni bir kullanıcı oluşturma
       snmpusm -v3 -u initial -n "" -l authNoPriv -a MD5 -A setup_passphrase localhost create wes
       initial

	      Bunu yapmak için "initial" kullanıcısını kullanarak, burada "wes" olarak adlandırılan
	      yeni bir kullanıcı oluşturur. "wes" bu işlem sırasında "initial" kullanıcısından
	      klonlanır, böylece o kullanıcının parola ifadesini ("setup_passphrase") miras alır.

   Kullanıcının parola ifadesini değiştirme
       snmpusm -v 3 -u wes -n "" -l authNoPriv -a MD5 -A setup_passphrase localhost passwd
       setup_passphrase new_passphrase

	      "wes" kullanıcısını "initial" kullanıcısı ile aynı parola ifadesiyle oluşturduktan sonra,
	      onun parola ifadesini kendisi için değiştirmemiz gerekir. Yukarıdaki komut, parola
	      ifadesini ilk kullanıcıdan miras alınan "setup_passphrase" değerinden "new_passphrase"
	      değerine değiştirir.

   Yeni kullanıcıyı test etme
       snmpget -v 3 -u wes -n "" -l authNoPriv -a MD5 -A new_passphrase localhost sysUpTime.0

	      Yukarıdaki komutlar başarılı olduysa, bu komut ajana yönelik kimliği doğrulanmış bir
	      SNMPv3 GET isteğini düzgün bir şekilde gerçekleştirmiş olmalıdır.

       Şimdi, "initial" kullanıcısı için vacm "group" snmpd.conf girdisini kaldırın; artık
       gelecekteki işlemler için initial yerine kullanabileceğiniz geçerli bir 'wes' kullanıcısına
       sahipsiniz.

Warning

Bu komutu kullanarak usmUserTable tablosunu manipüle etmek yalnızca SNMPv3 kullanılarak yapılabilir. Bu komut, tabloya yazma erişimleri olsa bile topluluk tabanlı (community-based) sürümlerle çalışmayacaktır.

Ayrıca Bakınız

snmpd.conf(5), snmp.conf(5), RFC 3414