Posts tagged ‘snmpv3’

Настройка SNMP v3 для DFM/OnCommand Core

Как вы знаете, в состав ПО для стораджа, которое доступно вам для новых систем NetApp, входит полезный инструмент наблюдения, управления, диагностики и рисования красивых графиков –  OnCommand Core 5 (ранее – DFM, Data Fabric Manager). Для его работы необходимо использовать протокол SNMP. NetApp Data ONTAP поддерживает SNMP вплоть до версии 3. Вот как включить и настроить использование аутентифицируемого SNMPv3 для работы с DFM/OnCommand Core.

Начнем с того, что в админской консоли NetApp включим отключенный по умолчанию в сторадже протокол SNMP.

> options snmp.enable on

Хотя с NetApp и можно работать под root-ом, но тут это такая же “плохая практика” как и в обычном UNIX-like. Поэтому сразу начнем учиться жить “по-правильному”. Воспользуемся имеющимися средсвам RBAC – Role-based Access Control (кстати про использовани RBAC вы можете почитать перевод руководства на сайте Netwell в переводах Best Practices).

Создадим роль (snmpv3role), которой назначим определенную доступную ей функцию (login-snmp). Затем создадим группу, которой присвоим созданную роль с функцией, а затем добавим в эту группу созданного пользователя, которому назначена роль, с присвоенной роли функцией (“…в доме, который построил Джек”). Вот в таком порядке это создается:

> useradmin role add snmpv3role -a login-snmp

> useradmin group add snmpv3group -r snmpv3role

> useradmin user add snmpv3user -g snmpv3group

> Enter password:

Введем, в заключение процесса, пароль на пользователя snmpv3user. Это будет наш пользователь для операций SNMPv3. Протокол v3 отличается от традиционного и привычного v1 как раз наличием средств аутентификации.

Включим трапы SNMP.

> snmp traps enable

> snmp init 1

?? разрешим аутентификацию.

> snmp authtrap 1

А затем добавим хост, с которого будут происходить обращения к SNMP. В нашем случае это хост с установленным DFM или OnCommand Core 5.0, или же любым другим средством, работающим по SNMP, например собирающем со стораджа статистику. Можно добавить и несколько хостов.

> snmp traphost add <DFM server hostname>

Укажем расположение стораджа, для административных нужд, чтобы можно было легко его обнаружить и идентифицировать, в случае необходимости.

> snmp location <filer location> (если в строке есть пробелы – окружите строку кавычками; snmp location “ДЦ2, комн.5, стойка 8”)

Все готово на стороне стораджа. Переходим на сторону хоста DFM/OnCommand 5.0

  • Если вы настраиваете из GUI, то проследуйте сюда:

Control Center tab | Setup | Options | SNMP Trap Listener. Щелкните Yes для включения листенера и щелкнитеk Update.

Control Center tab | Setup | Network Credentials.

Если вы использовали SNMPv1, найдите сеть вашего стораджа, которую вы хотите изменить на использование SNMPv3 в списке внизу страницы, и щелкните Edit справа.

В Edit Network Credentials, выберем SNMPv3.

В SNMPv1 Settings, убираем все, что указано в этом поле.

В SNMPv3 Settings, введем имя пользователя и пароль, созданные выше (snmpv3user) и щелкнем Update. НЕ ВВОД??ТЕ ничего в поле Privacy password. Это пока не используется, если вы туда что-то напишете, то получите сообщение об ошибке “snmpd:error Encryption not enabled” на стороне стораджа.

  • Если вы настраиваете из командной строки:

C:\> cd c:\Program Files\Network Appliance\DataFabric\DFM\bin

> dfm host list (чтобы посмотреть ID стораджа и его IP)

> dfm host set <storage ip> prefsnmpVersion=3

> dfm host get -q <ID стораджа, который вы подключаете по v3> (для проверки версии snmp)

> dfm host diag <имя хоста стораджа>

Вы получите следующий диагностический вывод:

SNMP Version in use SNMPv3

SNMPv1 Failed (это правильно)

SNMP Community <пусто> (так и должен быть пустой, см. ниже)

SNMPv3 Passed (297ms)

SNMPv3 Auth Protocol MD5

SNMPv3 Privacy Enabled No (Так и должно быть, это зарезервировано для будущего использования Privacy password, и сейчас не работает)

SNMPv3 Username root (OK, диагностика использует root, а не нашего созданного snmpv3user)

SNMP sysName <…> (какие-то значения, указанные в настройках)

SNMP sysObjectID <…>

SNMP productID <…>

 

Диагностика использует выполнение от пользователя root, поэтому мы видим выше упоминание root.

Если вы не очистите строку read only community в DFM GUI, то DFM будет использовать SNMPv1 в том случае, если строка  ro community определена на сторадже. Для ее удаления выполните команду в консоли стораджа:

> snmp community delete ro <community ro string>

??мейте ввиду, что System Manager v1.x и 2.x пока не поддерживают SNMPv3. Это означает, что если вы отключите использование SNMPv1, у вас перестанет работать функция обнаружения стораджей в сети, однако вы сможете добавить их вручную по IP-адресу (не Discover, а Add, затем введите IP-адрес стораджа, затем щелкните на иконку стрелки вниз, следующей за More, и введите логин и пароль административного аккаунта). Ели вам нужно продолжать использовать System Manager вместе с DFM, то оставьте  строку ro community на сторадже, удалив ее в DFM. DFM будет работать по v3, а System Manager по v1, без аутентификации.