2.4. Simple Network Management Protocol (SNMP) 文字列の変更
director は、オーバークラウド向けのデフォルトの読み取り専用 SNMP 設定を提供します。SNMP の文字列を変更して、権限のないユーザーがネットワークデバイスに関する情報を取得するリスクを軽減することを推奨します。
文字列パラメーターを使用して ExtraConfig
インターフェイスを設定する場合には、heat および Hiera が文字列をブール値と解釈しないように、'"<VALUE>"'
の構文を使用する必要があります。
オーバークラウドの環境ファイルで ExtraConfig
フックを使用して、以下の hieradata を設定します。
SNMP の従来のアクセス制御設定
- snmp::ro_community
-
IPv4 の読み取り専用 SNMP コミュニティー文字列。デフォルト値は
public
です。 - snmp::ro_community6
-
IPv6 の読み取り専用 SNMP コミュニティー文字列。デフォルト値は
public
です。 - snmp::ro_network
-
デーモンへの
RO クエリー
が許可されるネットワーク。この値は文字列または配列のいずれかです。デフォルト値は127.0.0.1
です。 - snmp::ro_network6
-
デーモンへの IPv6
RO クエリー
が許可されるネットワーク。この値は文字列または配列のいずれかです。デフォルト値は::1/128
です。 - tripleo::profile::base::snmp::snmpd_config
-
安全弁として snmpd.conf ファイルに追加する行の配列。デフォルト値は
[]
です。利用できるすべてのオプションについては、SNMP 設定ファイル に関する Web ページを参照してください。
以下に例を示します。
parameter_defaults: ExtraConfig: snmp::ro_community: mysecurestring snmp::ro_community6: myv6securestring
これにより、全ノードで、読み取り専用の SNMP コミュニティー文字列が変更されます。
SNMP のビューベースのアクセス制御設定 (VACM)
- snmp::com2sec
- VACM com2sec マッピングの配列。SECNAME、SOURCE、COMMUNITY を指定する必要があります。
- snmp::com2sec6
- VACM com2sec6 マッピングの配列。SECNAME、SOURCE、COMMUNITY を指定する必要があります。
以下に例を示します。
parameter_defaults: ExtraConfig: snmp::com2sec: ["notConfigUser default mysecurestring"] snmp::com2sec6: ["notConfigUser default myv6securestring"]
これにより、全ノードで、読み取り専用の SNMP コミュニティー文字列が変更されます。
詳細は man ページの snmpd.conf
を参照してください。