CA API GatewayでSNMP監視を有効化する方法

Document created by Koichi_Ikarashi Employee on Jul 7, 2017Last modified by Koichi_Ikarashi Employee on Jul 11, 2017
Version 1Show Document
  • View in full screen mode

文書番号: JTEC002614

製品名: CA API Management Gateway

バージョン: All

 

この技術情報は既存のTEC0000001393の内容を日本語で概要を案内するものです。

 

◆ソリューション

 

背景

 

 

SNMPはネットワーク上のデバイスとコンポーネントを監視・管理するためのプロトコルです。SNMPは3つの基本的な監視方法をサポートします: 取得, ウォーク, トラップ。SNMPGETはリモートモニター・管理者が特定の監視要素を取得できるようにします。SNMPWALKはリモートモニター・管理者がクラス内の値の範囲を取得できるようにします。SNMPトラップは監視対象が、特定の条件に基づいてリモートモニターに送信される通知を生成させることができます。この文書はGatewayアプライアンスを構成することにに焦点を当て、リモートモニターが取得・ ウォークを介して照会されるようにします。

 

実装

 

SNMPを利用するには以下の変更が必要です。

 

1. SNMPトラフィックがソフトウェア ファイアウォールを横断できるようにする。
2. SNMPデーモンの初期化パラメータを設定する
3. SNMPデーモンが外部からのリクエストを受信できるようにする
4. 必要に応じてSNMPデーモンのオプション設定をする

 

ソフトウェアファイアウォールの設定

Gatewayで使用されるソフトウェアファイアウォールは外部からのSNMPトラフィックを許可しません。ソフトウェアファイアウォールはそれら外部からのリクエストをSNMPデーモンに渡されるように許可しなければなりません。ホストOS上のソフトウェアファイアウォールのルールは変更してはいけません。この変更をPolicy Managerで、以下の手順を実行してください。

 

1. Policy Managerに管理ユーザでログインします。
2. TasksメニューからManage Listen Ports を選択します。
3. Manage Listen PortsダイアログからManage Firewall Rulesを選択します。
4. Manage Firewall RulesダイアログからCreate を選択します。
5. ルールを以下の設定で作成します。

- Rule Name: Permit SNMP
- Rule Action: Accept
- Interface: All
- Protocol: UDP
- From Port: 161

 

初期化パラメータの設定
設定ファイルはSNMPデーモンが任意のインターフェイスをリスンしないようにします。ただしUDPのloopbackインターフェイスは除きます。以下の手順を実行して、デーモンを全てのUDPインターフェイスにバインドします。

 

1. Gatewayアプライアンスにssgconfigユーザでログインします。
2. “Option #3: Use a privileged shell (root)”を選択します。
3. テキストエディタでSNMPデーモンパラメータファイルをオープンします: vi /etc/sysconfig/snmpd
4. 以下のように該当する行を変更します: OPTIONS="-Lsd -Lf /dev/null -p /var/run/snmpd.pid"
5. ファイルを保存しエディタを終了します。

 

設定ファイル例:

# snmpd command line options
OPTIONS="-LS0-6d -Lf /dev/null -p /var/run/snmpd.pid"

 

 

外部からのリクエストのSNMPデーモンへのアクセスを許可する

SNMPデーモンへのアクセスはアクセス制御リストにより制限されています。このリストを変更して、外部ホストからデーモンへのアクセスを許可するようにします。

 

1. Gatewayアプライアンスにssgconfigユーザでログインします。
2. “Option #3: Use a privileged shell (root)”を選択します。
3. テキストエディタでSNMPデーモンパラメータファイルをオープンします: vi /etc/hosts.allow
4. 以下のようにsnmpdの行を変更します: snmpd: ALL
5. ファイルを保存しエディタを終了します。

 

設定ファイルは以下のようになります:

snmpd: ALL
sshd: ALL

 

オプション設定の指定

GatewayアプライアンスでSNMP実装をセキュアにするためにセットすべき設定オプションがいくつかあります。以下の内容となります。

 

1. 許容可能なIPアドレスまたは範囲を特定します。
2. セキュリティグループに該当のアドレスまたは範囲を指定します。
3. セキュリティグループが特定のビューにアクセスできるように許可します。
4. 個別のビューに対してread-onlyアクセスを指定します。

 

これらの変更を行うために、SNMPデーモン設定ファイル(場所: /etc/snmp/snmpd.conf)をテキストエディタで開きます。設定例としては、以下の太字部分となります。

 

1. 許容可能なIPアドレスまたは範囲を特定する
SNMPはIPアドレスまたは範囲を要求し(CIDR形式)、コミュニティに割り当てます。sec.name, source, およびcommunityの値は変更可能です。以下がその例となります。

# First, map the community name "public" into a "security name"
# sec.name source community
#com2sec notConfigUser default public
com2sec myNetwork 10.10.50.0/24 ca

 

2. セキュリティグループに該当のアドレスまたは範囲を指定する

名前つきのセキュリティグループを作成して、SNMPセキュリティバージョンを指定する必要があります。これにより名前つきIPアドレスまたは範囲を不ループに割り当てて使用することができます。groupNameおよびsecurityModelの値は変更可能です。securityNameの値は上記でセットしたsec.nameと一致させてください。以下が例です。

# Second, map the security name into a group name:
# groupName securityModel securityName
#group notConfigGroup v1 notConfigUser
#group notConfigGroup v2c notConfigUser
group myGroup v1 myNetwork
group myGroup v2c myNetwork

 

3. セキュリティグループが特定のビューにアクセスできるように許可する
ビューにはコンテナを指定し、どのシステム情報がアクセスできるかを制限します。このセクションは、一つのグループが特定のビューにアクセスできるように許可します。nameおよびsubtree maskの値は変更できますが、以下のようにセットされるべきです。以下が例です。

# Third, create a view for us to let the group have rights to:
# Open up the whole tree for ro, make the RFC 1213 required ones rw.
# name incl/excl subtree mask(optional)
#view roview included .1
#view rwview included system.sysContact
#view rwview included system.sysName
#view rwview included system.sysLocation
view systemview included system
view systemview included .1.3.6.1.4.1.17304

注意: このステップでは、表示させたいMIB向けに、このビューにルートノードを追加すべきです。上の例では、コメントされていない行の2行目に、CA APIM MIBがビューに追加されています。もしシステム情報(CPU、メモリ、ディスク使用状況)を含むサブツリーを追加したい場合、次のサブツリーをビューに追加します: .1.3.6.1.4.1.2021

 

4. ビューに対してread-onlyアクセスを指定する

セキュリティグループとビューの間の関係を設定しなければなりません。この関係は、どのエンティティによりどの情報がアクセス可能かをコントロールします。groupの値は先にセットされたgroupNameの値と一致させます。read の値は先にセットされたname の値と一致させます。以下が例です。

# Finally, grant the group read-only access to the systemview view.
# group context sec.model sec.level prefix read write notif
#access notConfigGroup "" any noauth exact roview rwview none
access myGroup "" any noauth exact systemview none none

 

設定完了

 

変更されたすべての設定ファイルは編集後に保存します。その後Gatewayアプライアンスを再起動します。再起動の完了後に変更が反映され、SNMPデーモンが初期化されます。

 

 

◆追加情報:

TEC0000001393: Enabling SNMP monitoring in the CA API Gateway

Attachments

    Outcomes