Cisco UCS Central 認証ガイド リリース 1.4
SNMP Authentication
SNMP Authentication

SNMP Authentication

SNMP ポリシー

Cisco UCS Central は、SNMP トラップおよび SNMP ユーザの有効化と無効化、定義を行うグローバル SNMP ポリシーをサポートしています(通常のパスワードとプライバシー パスワード、認証タイプ md5 または sha、および暗号化タイプ DES と AES-128 により)。 登録済み Cisco UCS ドメインでは、そのクライアントのポリシー解決コントロール内で SNMP ポリシーをグローバルに定義するようにしている場合、すべての SNMP ポリシーについて Cisco UCS Central への登録に従うことになります。

SNMP エージェント機能は、Cisco UCS Centralをリモートでモニタする機能を提供します。 また、Cisco UCS Central ホスト IP を変更し、新しい IP で SNMP エージェントを再起動することもできます。 SNMP が、アクティブとスタンバイの両方の Cisco UCS Central サーバで稼働しており、設定が両方のサーバで保持されます。 Cisco UCS Central は、オペレーティング システム管理情報ベース(MIB)のみへの読み取り専用アクセスを提供します。Cisco UCS Central CLI 経由で、SNMP v1、v2c 用のコミュニティ ストリングを設定したり、SNMPv3 ユーザを作成または削除したりできます。

SNMP 機能の概要

SNMP フレームワークは 3 つの部分で構成されます。

  • SNMP マネージャ:SNMP を使用してネットワーク デバイスのアクティビティを制御し、モニタリングするシステム

  • SNMP エージェント:管理対象デバイスである Cisco UCS Central 内部のソフトウェア コンポーネントで、Cisco UCS Central に関するデータを保持し、必要に応じてそのデータを SNMP に報告します。 Cisco UCS Central には、エージェントと、MIB のコレクションが組み込まれています。 SNMP エージェントを有効にして、マネージャとエージェント間のリレーションシップを構築するには、Cisco UCS Central で SNMP を有効にして設定します。

  • 管理情報ベース(MIB):SNMP エージェント上の管理対象オブジェクトのコレクション。 Cisco UCS Central は、OS MIB のみをサポートします。

Cisco UCS Central は、SNMPv1、SNMPv2c、および SNMPv3 をサポートします。 SNMPv1 および SNMPv2c はどちらも、コミュニティベース形式のセキュリティを使用します。 SNMP v2 と SNMP v3 の主な違いは、セキュリティとリモート設定モデルに対する拡張です。 SNMP v3 は SNMP v2 に暗号化によるセキュリティを追加します。 また、SNMP v3 は、安全性が向上したエンコードされたセキュリティ パラメータで SNMP v2 の(クリア テキストとしての)単純なパスワード共有を置き換えます。

SNMP 通知

SNMP の重要な機能の 1 つは、SNMP エージェントから通知を生成できることです。 これらの通知では、要求を SNMP マネージャから送信する必要はありません。 通知は、不正なユーザ認証、再起動、接続の切断、隣接ルータとの接続の切断、その他の重要なイベントを表示します。

Cisco UCS Central は、SNMP 通知をトラップとして生成します。 SNMP マネージャはトラップの受信時に確認応答を送信せず、Cisco UCS Central はトラップが受信されたかどうかを確認できないため、トラップは信頼できません。

SNMP セキュリティ機能

SNMPv3 は、ネットワーク経由のフレームの認証と暗号化を組み合わせることによって、デバイスへのセキュア アクセスを実現します。 SNMPv3 は、設定済みユーザによる管理動作のみを許可し、SNMP メッセージを暗号化します。 SNMPv3 ユーザベース セキュリティ モデル(USM) は SNMP メッセージレベル セキュリティを参照し、次のサービスを提供します。

  • メッセージの完全性:メッセージが不正な方法で変更または破壊されていないことを保証します。また、データ シーケンスが、通常発生するものよりも高い頻度で変更されていないことを保証します。

  • メッセージ発信元の認証:受信データを発信したユーザのアイデンティティが確認されたことを保証します。

  • メッセージの機密性および暗号化:不正なユーザ、エンティティ、またはプロセスからの情報の利用や開示を行えないようにします。

SNMP セキュリティ レベルおよび権限

SNMPv1、SNMPv2c、および SNMPv3 はそれぞれ別のセキュリティ モデルを表します。 セキュリティ モデルは、選択したセキュリティ レベルと結合され、SNMP メッセージの処理中に適用されるセキュリティ メカニズムを決定します。

セキュリティ レベルは、SNMP トラップに関連付けられているメッセージを表示するために必要な特権を決定します。 権限レベルは、メッセージが開示されないよう保護または認証の必要があるかどうかを決定します。 サポートされるセキュリティ レベルは、セキュリティ モデルが設定されているかによって異なります。 SNMP セキュリティ レベルは、次の権限の 1 つ以上をサポートします。

  • noAuthNoPriv:認証なし、暗号化なし

  • authNoPriv:認証あり、暗号化なし

  • authPriv:認証あり、暗号化あり

SNMPv3 では、セキュリティ モデルとセキュリティ レベルの両方が提供されています。 セキュリティ モデルは、ユーザおよびユーザが属するロールを設定する認証方式です。 セキュリティ レベルとは、セキュリティ モデル内で許可されるセキュリティのレベルです。 セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP パケット処理中に採用されるセキュリティ メカニズムが決まります。

SNMP セキュリティ モデルおよびセキュリティ レベル

次の表に、Cisco UCS Central でサポートされる SNMP セキュリティ モデルとセキュリティ レベルの組み合わせを示します。
表 1  SNMP セキュリティ モデルおよびセキュリティ レベル

モデル

レベル

認証

暗号化

結果

v1

noAuthNoPriv

コミュニティ ストリング

No

コミュニティ ストリングの照合を使用して認証します。

v2c

noAuthNoPriv

コミュニティ ストリング

No

コミュニティ ストリングの照合を使用して認証します。

v3

noAuthNoPriv

[Username]

No

ユーザ名の照合を使用して認証します。

v3

authNoPriv

HMAC-MD5 または HMAC-SHA

No

Hash-Based Message Authentication Code(HMAC)メッセージ ダイジェスト 5(MD5)アルゴリズムまたは HMAC Secure Hash Algorithm(SHA)アルゴリズムに基づいて認証します。

v3

authPriv

HMAC-MD5 または HMAC-SHA

DES

HMAC-MD5 アルゴリズムまたは HMAC-SHA アルゴリズムに基づいて認証します。 データ暗号規格(DES)の 56 ビット暗号化、および暗号ブロック連鎖(CBC)DES(DES-56)標準に基づいた認証を提供します。

Cisco UCS での SNMP サポート

Cisco UCS は、SNMP に対して以下のサポートを提供します。

MIB のサポート

Cisco UCS は、MIB への読み取り専用アクセスをサポートします。

Cisco UCS で使用可能な特定の MIB およびその入手先については、B シリーズ サーバは http:/​/​www.cisco.com/​en/​US/​docs/​unified_computing/​ucs/​sw/​mib/​b-series/​b_​UCS_​MIBRef.html を、C シリーズは http:/​/​www.cisco.com/​en/​US/​docs/​unified_computing/​ucs/​sw/​mib/​c-series/​b_​UCS_​Standalone_​C-Series_​MIBRef.html を参照してください。

SNMPv3 ユーザの認証プロトコル

Cisco UCS は、SNMPv3 ユーザに次の認証プロトコルをサポートします。

  • HMAC-MD5-96(MD5)

  • HMAC-SHA-96(SHA)

SNMPv3 ユーザの AES プライバシー プロトコル

Cisco UCS は、SNMPv3 メッセージ暗号化用のプライバシー プロトコルの 1 つとして Advanced Encryption Standard(AES)を使用し、RFC 3826 に準拠しています。

プライバシー パスワード(priv オプション)では、SNMP セキュリティ暗号化方式として DES または 128 ビット AES を選択できます。 AES-128 設定を有効にし、SNMPv3 ユーザのプライバシー パスワードをインクルードした場合、Cisco UCS Central はプライバシー パスワードを使用して 128 ビット AES キーを生成します。 AES プライバシー パスワードは最小で 8 文字です。 パスフレーズをクリア テキストで指定する場合、最大 64 文字を指定できます。

SNMP のイネーブル化


    ステップ 1   メニュー バーで、システム設定アイコンをクリックして、[SNMP] を選択します。

    これにより、[Manage UCS Central SNMP] ダイアログボックスが開きます。

    ステップ 2   [Basic] タブで、[Enabled] または [Disabled] をクリックします。 [Enabled] を選択した場合は、次のフィールドに値を入力します。
    1. [Community/User Name] に、デフォルトの SNMP v1 または v2c コミュニティ名または SNMPv3 ユーザ名を入力します。
    2. [System Contact] に、SNMP 実装のシステム担当者を入力します。

      電子メール アドレス、名前、電話番号など、255 文字までの文字列を入力します。

    3. [System Location] に、SNMP エージェント(サーバ)が動作するホストの場所を入力します。

      最大 510 文字の英数字文字列を入力します。

    ステップ 3   [Save] をクリックします。

    次の作業

    SNMP トラップおよびユーザを作成します。

    SNMP トラップの作成と編集

    SNMP トラップを作成したら、必要に応じて、SNMP トラップ情報を編集できます。


      ステップ 1   メニュー バーで、システム設定アイコンをクリックして、[SNMP] を選択します。

      これにより、[Manage UCS Central SNMP] ダイアログボックスが開きます。

      ステップ 2   [SNMP Traps] タブで、+(プラス)アイコンをクリックします。
      ステップ 3   [Trap Host Name/IP Address] で、トラップを受信する SNMP ホストの IP アドレスを入力します。
      ステップ 4   [SNMP Trap Properties] 領域で、次の手順を実行します。
      1. [Community/User Name] に、システムがトラップを SNMP ホストに送信するときに追加される SNMP v1 または v2c コミュニティ名、あるいは、SNMPv3 ユーザ名を入力します。 これは、SNMP サービスに設定されたコミュニティまたはユーザ名と同じである必要があります。

        1 ~ 32 文字の英数字文字列を入力します。 @(アット マーク)、\(バックスラッシュ)、"(二重引用符)、?(疑問符)または空欄スペース は使用しないでください。

      2. [Port] に、システムがトラップ用に SNMP ホストと通信するポートを入力します。

        1 ~ 65535 の整数を入力します。 デフォルト ポートは 162 です。

      3. [System Location] に、SNMP エージェント(サーバ)が動作するホストの場所を入力します。

        最大 510 文字の英数字文字列を入力します。

      4. [Version] に対して、[V1]、[V2C]、または [V3] をクリックします。
      5. [Type] に対して、[Traps] をクリックします。

      6. [V3Privilege] を選択します。
        • [auth]:認証されますが、暗号化されません

        • [Noauth]:認証または暗号化なし

        • [Priv]:認証あり、暗号化あり

      ステップ 5   [Save] をクリックします。

      次の作業

      SNMP ユーザを作成する。

      SNMP ユーザの作成と編集

      SNMP ユーザを作成したら、必要に応じて、SNMP ユーザ情報を編集できます。


        ステップ 1   メニュー バーで、システム設定アイコンをクリックして、[SNMP] を選択します。

        これにより、[Manage UCS Central SNMP] ダイアログボックスが開きます。

        ステップ 2   [SNMP Users] タブで、+(プラス)アイコンをクリックします。
        ステップ 3   [SNMP User Name] で、SNMP ユーザに割り当てるユーザ名を入力します。

        32 文字までの文字または数字を入力します。 名前は文字で始まる必要があり、_(アンダースコア)、. (ピリオド)、@(アット マーク)、および -(ハイフン)も指定できます。

        ステップ 4   [SNMP User Properties] 領域で、次の手順を実行します。
        1. [Authentication Type] で、承認タイプとして [MD5] または [SHA] を選択します。
        2. [AES-128 Encryption] に対して、[Enabled] または [Disabled] をクリックします。
        3. [Password] と [Privacy Password] を入力して確認します。
        ステップ 5   [Save] をクリックします。