Configurar ESXi para SNMP v3

Quando você configura o agente SNMP ESXi para SNMPv3, o agente oferece suporte ao envio de informes e interceptações. O SNMPv3 também fornece segurança mais forte do que o SNMPv1 ou o SNMPv2c, incluindo autenticação de chave e criptografia.

Informar é uma notificação que o remetente reenvia até três vezes ou até que o destinatário confirme a notificação.

Configurar o ID do mecanismo SNMP

Todo agente SNMP v3 tem uma ID de mecanismo que serve como um identificador exclusivo para o agente. A ID do mecanismo é usada com uma função de hash para gerar chaves para autenticação e criptografia de mensagens SNMP v3.

Se você não especificar uma ID de mecanismo, quando ativar o agente SNMP, uma ID de mecanismo será gerada automaticamente.

Se você executar comandos ESXCLI por meio do ESXCLI, deverá fornecer opções de conexão que especifiquem o host de destino e as credenciais de login. Se você usar comandos ESXCLI diretamente em um host usando o Shell ESXi, poderá usar os comandos conforme fornecido sem especificar as opções de conexão. Para obter mais informações sobre as opções de conexão, consulte Conceitos e exemplos da ESXCLI.

Pré-requisitos

Configure o agente SNMP ESXi usando os comandos ESXCLI. Consulte Introdução ao ESXCLI para obter mais informações sobre como usar o ESXCLI.

Procedimento

♦ Execute o comando esxcli system snmp set com a opção --engineid para configurar a ID do mecanismo SNMP.
Por exemplo, execute o seguinte comando:
```
esxcli system snmp set --engineid id
```
Aqui, id é a ID do mecanismo e deve ser uma string hexadecimal entre 5 e 32 caracteres.

Configurar os protocolos de autenticação e privacidade SNMP

O SNMPv3 oferece suporte opcional aos protocolos de autenticação e privacidade.

A autenticação é usada para garantir a identidade dos usuários. A privacidade permite a criptografia de mensagens SNMP v3 para garantir a confidencialidade dos dados. Esses protocolos fornecem um nível de segurança mais alto do que o disponível no SNMPv1 e no SNMPv2c, que usam cadeias de caracteres de comunidade para segurança.

A autenticação e a privacidade são opcionais. No entanto, você deve habilitar a autenticação para habilitar a privacidade.

Os protocolos de autenticação e privacidade SNMPv3 são recursos licenciados do vSphere e podem não estar disponíveis em algumas edições do vSphere.

Pré-requisitos

Configure o agente SNMP ESXi usando os comandos ESXCLI. Consulte Introdução ao ESXCLI para obter mais informações sobre como usar o ESXCLI.

Procedimento

(Opcional) Execute o comando esxcli system snmp set com a opção --authentication para configurar a autenticação.
Por exemplo, execute o seguinte comando:
```
esxcli system snmp set --authentication protocol
```
Aqui, protocol deve ser none (para nenhuma autenticação), SHA1 ou MD5.
(Opcional) Execute o comando esxcli system snmp set com a opção --privacy para configurar a privacidade.
Por exemplo, execute o seguinte comando:
```
esxcli system snmp set --privacy protocol
```
Aqui, protocol deve ser none (para não ter privacidade) ou AES128.

Configurar usuários do SNMP

Você pode configurar até 5 usuários que podem acessar as informações do SNMP v3. Os nomes de usuário não devem ter mais de 32 caracteres.

Ao configurar um usuário, você gera valores de hash de autenticação e privacidade com base nas senhas de autenticação e privacidade do usuário e na ID do mecanismo do agente SNMP. Se você alterar o ID do mecanismo, o protocolo de autenticação ou o protocolo de privacidade após configurar os usuários, os usuários não serão mais válidos e deverão ser reconfigurados.

Pré-requisitos

Verifique se você configurou os protocolos de autenticação e privacidade antes de configurar os usuários.
Verifique se você conhece as senhas de autenticação e privacidade de cada usuário que planeja configurar. As senhas devem ter pelo menos 7 caracteres. Armazene essas senhas em arquivos no sistema host.
Configure o agente SNMP ESXi usando os comandos ESXCLI. Consulte Introdução ao ESXCLI para obter mais informações sobre como usar o ESXCLI.

Procedimento

Se você estiver usando autenticação ou privacidade, obtenha os valores de hash de autenticação e privacidade para o usuário executando o comando esxcli system snmp hash com os sinalizadores --auth-hash e --priv-hash.
Por exemplo, execute o seguinte comando:
```
esxcli system snmp hash --auth-hash secret1 --priv-hash secret2
```
Aqui, secret1 é o caminho para o arquivo que contém a senha de autenticação do usuário e secret2 é o caminho para o arquivo que contém a senha de privacidade do usuário.
Como alternativa, você pode passar o sinalizador --raw-secret e especificar as senhas diretamente na linha de comando.
Por exemplo, você pode executar o seguinte comando:
```
esxcli system snmp hash --auth-hash authsecret --priv-hash privsecret --raw-secret
```
A saída produzida pode ser a seguinte:
```
Authhash: 08248c6eb8b333e75a29ca0af06b224faa7d22d6
Privhash: 232ba5cbe8c55b8f979455d3c9ca8b48812adb97
```
Os valores de hash de autenticação e privacidade são exibidos.

Configure o usuário executando o comando esxcli system snmp set com o sinalizador --user.

Por exemplo, você pode executar o seguinte comando:

esxcli system snmp set --user userid/authhash/privhash/security

O comando aceita os seguintes parâmetros:

Parâmetro	Descrição
`userid`	O nome de usuário.
`authhash`	O valor de hash de autenticação.
`privhash`	O valor do hash de privacidade.
`segurança`	O nível de segurança ativado para esse usuário, que pode ser `auth` (somente para autenticação), `priv` (para autenticação e privacidade) ou `none` (para no autenticação ou privacidade).

Por exemplo, execute o seguinte comando para configurar o user1 para acesso com autenticação e privacidade:

esxcli system snmp set --user user1/08248c6eb8b333e75a29ca0af06b224faa7d22d6/
232ba5cbe8c55b8f979455d3c9ca8b48812adb97/priv

Você deve executar o seguinte comando para configurar o user2 para acesso sem autenticação ou privacidade:

esxcli system snmp set --user user2/-/-/none

(Opcional) Teste a configuração do usuário executando o seguinte comando:
```
esxcli system snmp test --user username --auth-hash secret1 --priv-hash secret2
```
Se a configuração estiver correta, esse comando retornará a seguinte mensagem: "Usuário username valided corretamente usando a ID do mecanismo e o nível de segurança: protocols". Aqui, protocolos indica os protocolos de segurança configurados.

Configurar destinos do SNMP v3

Configure os destinos do SNMP v3 para permitir que o agente SNMP ESXi envie interceptações e informações do SNMP v3.

O SNMP v3 permite o envio de interceptações e informações. Uma mensagem de informação é um tipo de mensagem que o remetente reenvia no máximo três vezes. O remetente aguarda 5 segundos entre cada tentativa, a menos que a mensagem seja confirmada pelo destinatário.

Você pode configurar no máximo três destinos SNMP v3, além de no máximo três destinos SNMP v1/v2c.

Para configurar um destino, você deve especificar um nome de host ou endereço IP do sistema que recebe as interceptações ou informações, um nome de usuário, um nível de segurança e se as interceptações ou as informações devem ser enviadas. O nível de segurança pode ser none (para nenhuma segurança), auth (apenas para autenticação) ou priv (para autenticação e privacidade).

Pré-requisitos

Certifique-se de que os usuários que acessam as interceptações ou os informes estejam configurados como usuários SNMP para o agente SNMP ESXi e o sistema de gerenciamento de destino.
Se você estiver configurando os informes, precisará da ID do mecanismo para o agente SNMP no sistema remoto que recebe a mensagem de informe.
Configure o agente SNMP ESXi usando os comandos ESXCLI. Consulte Introdução ao ESXCLI para obter mais informações sobre como usar o ESXCLI.

Procedimento

(Opcional) Se você estiver configurando informes, configure os usuários remotos executando o comando esxcli system snmp set com a opção --remote-users.

Por exemplo, execute o seguinte comando:

esxcli system snmp set --remote-users userid/auth-protocol/auth-hash/priv-protocol/priv-hash/engine-id

O comando aceita os seguintes parâmetros:

Parâmetro	Descrição
`userid`	O nome de usuário.
`auth-protocol`	O protocolo de autenticação, `none` (para nenhuma autenticação), `MD5` ou `SHA1`.
`auth-hash`	O hash de autenticação ou `-` se o protocolo de autenticação for `none`.
`priv-protocol`	O protocolo de privacidade, `AES128`, ou `none`.
`priv-hash`	O hash de privacidade ou `-` se o protocolo de privacidade for `none`.
`engine-id`	A ID do mecanismo do agente SNMP no sistema remoto que recebe a mensagem de informação.

Execute o comando esxcli system snmp set com a opção --v3targets.

Por exemplo, execute o seguinte comando:

esxcli system snmp set --v3targets hostname@port/userid/secLevel/message-type

Os parâmetros do comando são os seguintes.

Parâmetro	Descrição
`nome do host`	O nome do host ou o endereço IP do sistema de gerenciamento que recebe as interceptações ou as informações.
`porta`	A porta no sistema de gerenciamento que recebe as interceptações ou os informes. Se você não especificar uma porta, a porta padrão, 162, será usada.
`userid`	O nome de usuário.
`secLevel`	O nível de autenticação e privacidade que você configurou. Use `auth` se você tiver configurado apenas a autenticação, `priv` se você tiver configurado a autenticação e a privacidade e `none` se você não tiver configurado nenhuma delas.
`message-type`	O tipo das mensagens recebidas pelo sistema de gerenciamento. Use `trap` ou `inform`.

(Opcional) Se o agente SNMP ESXi não estiver ativado, execute o seguinte comando:
```
esxcli system snmp set --enable true
```
(Opcional) Envie uma notificação de teste para verificar se o agente está configurado corretamente executando o comando esxcli system snmp test.
O agente envia uma notificação warmStart para o destino configurado.