À partir de VMware Cloud Director 10.2.2, vous pouvez configurer le dispositif VMware Cloud Director pour SNMP v3. Lorsque vous configurez l'agent SNMP pour SNMP v3, l'agent prend en charge l'interrogation et offre une sécurité renforcée, notamment l'authentification chiffrée et le chiffrement.

La configuration du dispositif VMware Cloud Director pour SNMP v3 se compose de trois parties.
  1. Configuration de l'ID du moteur SNMP
  2. Configuration des protocoles d'authentification et de confidentialité SNMP
  3. Configuration des utilisateurs SNMP

Chaque agent SNMP v3 possède un ID de moteur utilisé comme identifiant unique pour l'agent. L'ID du moteur est utilisé avec une fonction de hachage pour générer des clés localisées pour l'authentification et le chiffrement de messages SNMP v3. Si vous ne spécifiez pas un ID de moteur avant d'activer l'agent SNMP, lorsque vous activez l'agent SNMP autonome, VMware Cloud Director génère un ID de moteur.

Pour garantir l'identité des utilisateurs, vous pouvez utiliser l'authentification. La confidentialité permet le chiffrement des messages SNMP v3 pour assurer la confidentialité des données. Les protocoles de confidentialité apportent un niveau de sécurité plus élevé que dans SNMP v1 et v2c, qui utilisent des chaînes de communauté pour la sécurité. L'authentification et la confidentialité sont facultatives. Cependant, si vous prévoyez d'activer la confidentialité, vous devez activer l'authentification.

La valeur par défaut des protocoles d'authentification et de confidentialité est aucune.

Vous pouvez configurer jusqu'à cinq utilisateurs qui peuvent accéder à des informations SNMP v3. Les noms d'utilisateurs ne doivent pas dépasser 32 caractères. Lors de la configuration d'un utilisateur, vous générez les valeurs de hachage d'authentification et de confidentialité en fonction des mots de passe d'authentification et de confidentialité de l'utilisateur et de l'ID de moteur de l'agent SNMP. Après avoir configuré les utilisateurs, si vous modifiez l'ID du moteur, le protocole d'authentification ou le protocole de confidentialité, cela invalide les utilisateurs et vous devez les reconfigurer.

Conditions préalables

Si vous souhaitez configurer des protocoles d'authentification et de confidentialité SNMP, vérifiez que vous connaissez les mots de passe d'authentification et de confidentialité de chaque utilisateur que vous prévoyez de configurer. Les mots de passe doivent comporter au moins huit caractères.

Procédure

  1. Connectez-vous au shell du dispositif en tant qu'utilisateur avec des privilèges d'administration.
  2. Exécutez la commande vicfg-snmp --engineid pour configurer la cible.
    Par exemple, exécutez la commande suivante : 
    vicfg-snmp --engineid 80001f8880167b18238d613d6000000000
    Où 80001f8880167b18238d613d6000000000 est l'ID, une chaîne hexadécimale d'une longueur de 5 à 32 caractères.
  3. (Facultatif) Pour configurer le protocole d'authentification, exécutez la commande vicfg-snmp --authentication
    Par exemple, exécutez la commande suivante : 
    vicfg-snmp --authentication protocol
    protocol doit être none, pour aucune authentification, SHA1, SHA256, SHA384 ou SHA512. Par exemple, si vous souhaitez définir le protocole d'authentification sur SHA512, vous devez exécuter la commande suivante. 
    vicfg-snmp --authentication SHA512
  4. (Facultatif) Pour configurer le protocole de confidentialité, exécutez la commande vicfg-snmp --privacy.
    Par exemple, exécutez la commande suivante : 
    vicfg-snmp --privacy protocol
    protocol doit être none, pour aucune confidentialité, ou AES128, AES192 ou AES256. Par exemple, si vous souhaitez définir le protocole de confidentialité sur AES128, vous devez exécuter la commande suivante. 
    vicfg-snmp --privacy AES128
  5. Si vous utilisez l'authentification, la confidentialité ou les deux pour générer les valeurs de hachage d'authentification et de confidentialité pour un utilisateur, exécutez la commande suivante. 
    vicfg-snmp --hashkey authentication-password privacy-password

    Vous devez entrer authentication-password, privacy-password, ou les deux, selon vos paramètres d'authentification et de confidentialité. Les mots de passe doivent comporter au moins 8 caractères. Notez les paramètres authentication-password et privacy-password, car vous en aurez besoin pour configurer un client SNMP. La sortie de la commande inclut les informations Clé d'authentification localisée et Clé de confidentialité localisée.

  6. Configurez un ou plusieurs utilisateurs en exécutant la commande suivante.

    Vous pouvez spécifier plusieurs utilisateurs en les ajoutant sous forme de liste séparée par des virgules. Vous pouvez configurer jusqu'à cinq utilisateurs.

    vicfg-snmp --users userid/authhash/privhash/security

    Les paramètres de la commande sont les suivants.

    Paramètre Description
    userid Remplacez par le nom d'utilisateur.
    authhash Remplacez par la clé localisée d'authentification.
    privhash Remplacez la clé de confidentialité localisée.
    model Remplacez-le par le niveau de sécurité actif pour cet utilisateur, qui peut être auth, pour l'authentification seulement, priv, pour l'authentification et la confidentialité, ou none, sans authentification ni confidentialité.
    Par exemple, si vous souhaitez configurer un utilisateur sans sécurité, vous pouvez exécuter : 
    vicfg-snmp --users vcd-snmp-user/-/-/none
    Si vous souhaitez configurer un utilisateur avec un hachage d'autorisation, vous pouvez exécuter : 
    vicfg-snmp --users vcd-snmp-user/225e07958d3c6af615588db17d61986e69fb7a71/-/auth
    Si vous souhaitez configurer un utilisateur avec le hachage d'autorisation et le hachage de confidentialité, vous pouvez exécuter : 
    vicfg-snmp --users vcd-snmp-user/225e07958d3c6af615588db17d61986e69fb7a71/da1057af05f67a25a09265a9a2bedb53/priv
  7. (Facultatif) Si vous souhaitez supprimer un ou plusieurs utilisateurs, répétez l'étape 6 avec les détails du nouvel utilisateur.
    Une nouvelle exécution de vicfg-snmp --users remplace tous les paramètres précédents.
  8. Activez SNMP en exécutant la commande suivante. 
    vicfg-snmp --enable