4. snmpd.conf について
snmpd.conf ファイルは、snmpd デーモンが参照するファイルです。
主な定義は、マネージャの定義、マネージャに対し参照できるMIBの範囲を定義すること、およびMIBによるTrapのエージェント先を定義することです。パスは下記に作る必要があります。
/usr/share/snmp/snmpd.conf
当章では、マネージャから情報を取得するための最低限かつ最重要な設定である、com2sec group view access について述べます。それ以外のディレクティブについてはその都度解説します。
4.1 com2sec
com2sec行では、SNMP要求の送信元ネットワークとセキュリティ名の2つの値の組み合わせてコミュニティ名を定義します。
マネージャはコミュニティ名を引数にしてエージェントから情報の取得要求を行います。リスト1の例では、2つのセキュリティ名とそれぞれの送信元に対して、それぞれのコミュニティ名を定義しています。
セキュリティ名 | 送信元 | コミュニティ名 | |
com2sec | local_config | localhost | localcom |
com2sec | secure_config | 192.168.1.0/24 | securecom |
4.2 group
group行では、上記で設定したセキュリティ名とSNMPのセキュリティモデルの2つの値の組み合わせでグループ名を定義します。セキュリティモデルとしてはv1、v2、usm が存在し、それぞれSNMPプロトコルv1、2、3に対応しています。
リスト1の例では、com2secで指定したlocal_configとsecure_configという2つのセキュリティ名をlocal_group、secure_groupとして定義しています。
グループ名 | モデル名 | セキュリティ名 | |
group | local_group | v1 | local_config |
group | local_group | v2c | local_config |
group | local_group | usm | local_config |
group | secure_group | v1 | secure_config |
group | secure_group | v2c | secure_config |
group | secure_group | usm | secure_config |
4.3 view
view行ではMIBツリーの参照範囲をview名で定義します。
リスト1の例では、view_localとview_publicに、.1.3.6.1以下の参照権を与えてます。
view名 | タイプ | MIBのOID | |
view | view_local | included | .1.3.6.1 |
view | view_public | included | .1.3.6.1 |
タイプに対しては下記の通りです。
- included : 指定した範囲を示す
- excluded : 指定した範囲外を示す
4.4 access
access行はマネージャによるアクセスを許可するための設定です。
上記までに設定したgroup名、view名を利用し、それぞれのグループに対してどういったアクセスを認めるのかを設定します。
グループ名 | Context | モデル名 | 認証設定 | Contextマッチ方法 | read権限 | write権限 | 通知 | |
access | local_group | "" | any | noauth | exact | view_local | none | all |
access | secure_group | "" | any | noauth | exact | view_public | view_public | all |
詳細は、man snmpd.conf
で見てもらいたいのですが、簡単に説明すると次のとおりのルールになってます。
- v1またはv2で使用する限りは、Contextは空文字、認証設定もnoauthになります。Contextマッチ方法はexactまたはprefixですが、Contextは空文字なので、どちらでも結構です。
- 両グループ(local_group、secure_group)もv1~v3で使用するので、モデル名はanyになります。
- read権限は、get-request の許可を表します。write権限は、set-request の許可を表します。通知は、Trap の許可を表します(Trapの説明は別章で行います)。
以上で「snmpd.conf」の基本的な項目の説明を終えます。次回はこのSNMP環境を使って、わりとよく監視されている項目について実際に監視します。