Lorsque vous configurez l'agent SNMP ESXi pour SNMPv3, l'agent prend en charge l'envoi de notifications (interruptions et informations) et la réception de demandes GET, GETBULK et GETNEXT. SNMPv3 offre également une meilleure sécurité que SNMPv1 ou SNMPv2c, notamment l'authentification et le chiffrement par clé.

Ce type de notification indique que l’expéditeur renvoie la notification jusqu'à trois fois ou jusqu'à ce que le récepteur la reconnaisse.

Configurer l'identifiant du moteur SNMP

Chaque agent SNMP v3 possède un ID de moteur qui est utilisé comme un identifiant unique pour l'agent. L'ID du moteur est utilisé avec une fonction de hachage pour générer des clés d'authentification et de chiffrement de messages SNMP v3.

Si vous ne spécifiez pas un ID de moteur lors de l'activation de l'agent SNMP, un ID de moteur est automatiquement généré.

Si vous exécutez les commandes ESXCLI via ESXCLI, vous devez indiquer des options de connexion précisant l'hôte cible et les informations d'identification de connexion. Si vous utilisez les commandes ESXCLI directement sur un hôte à l'aide d'ESXi Shell, vous pouvez utiliser les commandes telles quelles sans indiquer d'options de connexion. Pour plus d'informations sur les options de connexion, voir Concepts et exemples d'ESXCLI.

Conditions préalables

Configurez l'agent SNMP d'ESXi à l'aide des commandes ESXCLI. Pour plus d'informations sur l'utilisation d'ESXCLI, reportez-vous au document Démarrage avec ESXCLI.

Procédure

  • Exécutez la commande esxcli system snmp set avec l'option --engineid pour configurer l'ID du moteur SNMP.
    Par exemple, exécutez la commande suivante : 
    esxcli system snmp set --engineid id
    Ici, id est l'ID du moteur et doit être une chaîne hexadécimale d'une longueur comprise entre 5 et 32 caractères.

Configurer les protocoles d'authentification et de confidentialité SNMP

SNMPv3 prend facultativement en charge les protocoles d'authentification et de confidentialité.

L'authentification est utilisée pour assurer l'identité des utilisateurs. La confidentialité permet le chiffrement des messages SNMP v3 pour assurer la confidentialité des données. Ces protocoles fournissent un niveau plus élevé de sécurité qui n'existe pas dans SNMPv1 et SNMPv2c, qui utilisent des chaînes de communauté pour la sécurité.

L'authentification et la confidentialité sont toutes deux facultatives. Cependant, vous devez activer l'authentification pour activer la confidentialité.

L'authentification SNMPv3 et les protocoles de confidentialité sont des fonctionnalités de vSphere qui peuvent ne pas être disponibles dans certaines éditions de vSphere.

Si vous exécutez les commandes ESXCLI via ESXCLI, vous devez indiquer des options de connexion précisant l'hôte cible et les informations d'identification de connexion. Si vous utilisez les commandes ESXCLI directement sur un hôte à l'aide d'ESXi Shell, vous pouvez utiliser les commandes telles quelles sans indiquer d'options de connexion. Pour plus d'informations sur les options de connexion, voir Concepts et exemples d'ESXCLI.

Conditions préalables

Configurez l'agent SNMP d'ESXi à l'aide des commandes ESXCLI. Pour plus d'informations sur l'utilisation d'ESXCLI, reportez-vous au document Démarrage avec ESXCLI.

Procédure

  1. (Facultatif) Exécutez la commande esxcli system snmp set avec l'option --authentication pour configurer l'authentification.
    Par exemple, exécutez la commande suivante : 
    esxcli system snmp set --authentication protocol
    Ici, protocol doit être none (pour aucune authentification) ou SHA1.
  2. (Facultatif) Exécutez la commande esxcli system snmp set avec l'option --privacy pour configurer la confidentialité.
    Par exemple, exécutez la commande suivante : 
    esxcli system snmp set --privacy protocol
    Ici, protocol doit être none (pour aucune confidentialité) ou AES128.

Configurer les utilisateurs SNMP

Vous pouvez configurer jusqu'à 5 utilisateurs qui peuvent accéder à des informations SNMP v3. Les noms d'utilisateurs ne doivent pas dépasser 32 caractères.

Lors de la configuration d'un utilisateur, vous générez des valeurs de hachage d'authentification et de confidentialité basées sur les mots de passe d'authentification et de confidentialité de l'utilisateur et sur l'ID du moteur de l'agent SNMP. Si vous modifiez l'ID du moteur, le protocole d'authentification ou de confidentialité, les utilisateurs ne seront plus valides et vous devrez les configurer à nouveau.

Si vous exécutez les commandes ESXCLI via ESXCLI, vous devez indiquer des options de connexion précisant l'hôte cible et les informations d'identification de connexion. Si vous utilisez les commandes ESXCLI directement sur un hôte à l'aide d'ESXi Shell, vous pouvez utiliser les commandes telles quelles sans indiquer d'options de connexion. Pour plus d'informations sur les options de connexion, voir Concepts et exemples d'ESXCLI.

Conditions préalables

  • Vérifiez que vous avez configuré les protocoles d'authentification et de confidentialité avant de configurer des utilisateurs.
  • Vérifiez que vous connaissez les mots de passe d'authentification et de confidentialité de chaque utilisateur que vous prévoyez configurer. Les mots de passe doivent comporter au moins 7 caractères. Stockez-les dans des fichiers sur le système hôte.

  • Configurez l'agent SNMP d'ESXi à l'aide des commandes ESXCLI. Pour plus d'informations sur l'utilisation d'ESXCLI, reportez-vous au document Démarrage avec ESXCLI.

Procédure

  1. Si vous utilisez l'authentification ou la confidentialité, obtenez les valeurs de hachage d'authentification et de confidentialité de l'utilisateur en exécutant la commande esxcli system snmp hash avec les indicateurs --auth-hash et --priv-hash.
    Par exemple, exécutez la commande suivante : 
    esxcli system snmp hash --auth-hash secret1 --priv-hash secret2
    secret1 est le chemin vers le fichier contenant le mot de passe d'authentification de l'utilisateur et secret2 est le chemin vers le fichier contenant le mot de passe de confidentialité de l'utilisateur.

    Vous pouvez également transmettre l'indicateur --raw-secret et spécifier les mots de passe directement sur la ligne de commande.

    Par exemple, vous pouvez exécuter la commande suivante : 
    esxcli system snmp hash --auth-hash authsecret --priv-hash privsecret --raw-secret
    La sortie produite peut être : 
    Authhash: 08248c6eb8b333e75a29ca0af06b224faa7d22d6
Privhash: 232ba5cbe8c55b8f979455d3c9ca8b48812adb97
    Les valeurs de hachage d'authentification et de confidentialité sont affichées.
  2. Configurez l'utilisateur en exécutant la commande esxcli system snmp set avec l'indicateur --user.
    Par exemple, vous pouvez exécuter la commande suivante : 
    esxcli system snmp set --user userid/authhash/privhash/security
    La commande accepte les paramètres suivants :
    Paramètre Description
    userid Nom de l'utilisateur.
    authhash La valeur de hachage d'authentification.
    privhash La valeur de hachage de confidentialité.
    security Niveau de sécurité activé pour cet utilisateur, qui peut être auth (pour l'authentification uniquement), priv (pour l'authentification et la confidentialité) ou none(ni authentification ni confidentialité).
    Par exemple, exécutez la commande suivante pour configurer user1 pour un accès avec authentification et confidentialité : 
    esxcli system snmp set --user user1/08248c6eb8b333e75a29ca0af06b224faa7d22d6/
232ba5cbe8c55b8f979455d3c9ca8b48812adb97/priv
    Vous devez exécuter la commande suivante pour configurer user2 pour un accès sans authentification ni confidentialité : 
    esxcli system snmp set --user user2/-/-/none
  3. (Facultatif) Testez la configuration de l'utilisateur en exécutant la commande suivante : 
    esxcli system snmp test --user username --auth-hash secret1 --priv-hash secret2
    Si la configuration est correcte, cette commande renvoie le message suivant : « L'utilisateur nom_utilisateur a correctement validé à l'aide de l'ID de moteur et du niveau de sécurité : protocoles ». Ici, protocols désigne les protocoles de sécurité configurés.

Configurer les cibles SNMP v3

Configurez les cibles pour SNMP v3 permettant à l'agent SNMP ESXi d'envoyer des interruptions et des notifications à SNMP v3.

SNMP v3 permet d'envoyer et des interruptions et des notifications. Un message de notification est un type de message que l’expéditeur renvoie trois fois au maximum. L’expéditeur attend 5 secondes entre chaque tentative, sauf si le message est avalisé par le récepteur.

Vous pouvez configurer trois cibles SNMP v3 au maximum, en plus de trois cibles SNMP v1/v2c au maximum.

Pour configurer une cible, vous devez spécifier le nom d'hôte ou l'adresse IP du système qui recevra les interruptions ou les notifications, un nom d'utilisateur, un niveau de sécurité et s'il faut envoyer des interruptions ou des notifications. Le niveau de sécurité peut être soit none (aucune sécurité), auth (pour l'authentification uniquement), soit priv (pour l'authentification et la confidentialité).

Si vous exécutez les commandes ESXCLI via ESXCLI, vous devez indiquer des options de connexion précisant l'hôte cible et les informations d'identification de connexion. Si vous utilisez les commandes ESXCLI directement sur un hôte à l'aide d'ESXi Shell, vous pouvez utiliser les commandes telles quelles sans indiquer d'options de connexion. Pour plus d'informations sur les options de connexion, voir Concepts et exemples d'ESXCLI.

Conditions préalables

  • Assurez-vous que les utilisateurs qui ont accès aux interruptions ou aux notifications sont configurés comme utilisateurs SNMP à la fois pour l'agent SNMP ESXi et pour le système de gestion de cible.

  • Si vous configurez des notifications, vous avez besoin de l'ID du moteur de l'agent SNMP sur le système distant qui reçoit le message de notification.

  • Configurez l'agent SNMP d'ESXi à l'aide des commandes ESXCLI. Pour plus d'informations sur l'utilisation d'ESXCLI, reportez-vous au document Démarrage avec ESXCLI.

Procédure

  1. (Facultatif) Si vous configurez des notifications, configurez les utilisateurs distants en exécutant la commande esxcli system snmp set avec l'option --remote-users.
    Par exemple, exécutez la commande suivante : 
    esxcli system snmp set --remote-users userid/auth-protocol/auth-hash/priv-protocol/priv-hash/engine-id
    La commande accepte les paramètres suivants :
    Paramètre Description
    userid Nom de l'utilisateur.
    auth-protocol Protocole d'authentification, none (pour aucune authentification) ou SHA1.
    auth-hash Hachage d'authentification ou - si le protocole d'authentification est none.
    priv-protocol Protocole de confidentialité, AES128 ou none.
    priv-hash Hachage de confidentialité ou - si le protocole de confidentialité est none.
    engine-id ID du moteur de l'agent SNMP sur le système distant qui reçoit le message de notification.
  2. Exécutez la commande esxcli system snmp set avec l'option --v3targets.
    Par exemple, exécutez la commande suivante : 
    esxcli system snmp set --v3targets hostname@port/userid/secLevel/message-type
    Les paramètres de la commande sont les suivants :
    Paramètre Description
    hostname Nom d'hôte ou adresse IP du système de gestion qui reçoit les interruptions ou les notifications.
    port Port sur le système de gestion qui reçoit les interruptions ou les notifications. Si vous ne précisez pas de port, le port par défaut, 162, est employé.
    userid Nom de l'utilisateur.
    secLevel Niveau d'authentification et de confidentialité que vous avez configuré. Utilisez auth si vous avez configuré l'authentification uniquement, priv si vous avez configuré l'authentification et la confidentialité, et none si vous n'avez configuré aucun d'eux.
    message-type Type de message reçu par le système de gestion. Utilisez trap ou inform.
  3. (Facultatif) Si l'agent SNMP d'ESXi n'est pas activé, exécutez la commande suivante : 
    esxcli system snmp set --enable true
  4. (Facultatif) Envoyez une notification de test pour vérifier que l'agent est correctement configuré en exécutant la commande esxcli system snmp test.
    L'agent envoie une notification warmStart à la cible configurée.