Проблема с пониманием параметра NXOS SNMP User localizedv2key
-
Всем привет, Я пытаюсь понять опцию
localizedv2key
при настройке команды
snmp-server user
, т. е. «когда» я должен ее использовать и «как» ее использовать? Судя по моим исследованиям, «локализованный ключ» означает, что пароль пользователя объединяется с SNMP engineID коммутатора, в результате чего для каждого коммутатора создается «локальный ключ» с подходящим именем, при этом пользователь может использовать один пароль для всех коммутаторов. Мне сложно понять, как этот концепт используется в команде
snmp-server user
с параметром
localizedv2key
. При использовании этого параметра нужно вводить пароль в шестнадцатеричном формате (с префиксом
0x
, например
0xabc123
)? Если да, то как сгенерировать это шестнадцатеричное представление пароля? Сначала я попытался создать пользователя SNMP
TEST
с паролем
testing1
, используя
localizedv2key
(кроме того, на устройстве нет существующего локального пользователя
TEST
, поэтому
команда show run | i TEST
не возвращает никаких результатов). Чтобы создать нового пользователя SNMP
TEST
с параметром
localizedv2key
, я преобразовал пароль пользователя
testing1
в шестнадцатеричный формат (
74657374696e6731
), а затем очень грубо попытался ввести его (с префиксом
0x
) в моей команде
snmp-server user
для
auth
и
priv
, но безрезультатно: labnexus9ksw1(config)# snmp-server user TEST network-operator auth md5 0x74657374696e6731 priv 0x74657374696e6731 localizedv2key
decryptSalt for auth failed
warning: password for user:TEST not set. S/he may not be able to login labnexus9ksw1(config)# Мне кажется, что я что-то упускаю в том, что означает этот параметр
localizedv2key
, или когда/как его использовать? Например, как я могу настроить пользователя
TEST
с паролем
testing1
, используя параметр
localizedv2key
? 0xD2A6762E -
Привет
[, @vv0bbLeS] Опция
localizedv2key
опция в
snmp-server user
действительно немного сложна для понимания и использования. Позвольте мне разъяснить вам, как она работает, когда ее использовать и как правильно настроить. Что такое
localizedv2key
? Опция
localizedv2key
используется, когда вы хотите напрямую указать
локализованный ключ
(в шестнадцатеричном формате) для пользователя SNMPv3 вместо предоставления пароля в виде обычного текста. Обычно, когда вы настраиваете пользователя SNMPv3 с паролем, устройство берет этот пароль и комбинирует его с идентификатором движка SNMP для генерации
локализованного ключа
. Этот локализованный ключ и используется для аутентификации и шифрования. Опция
localizedv2key
позволяет обойти процесс преобразования пароля в локализованный ключ и напрямую указать локализованный ключ в шестнадцатеричном формате. Это полезно в случаях, когда у вас уже есть локализованный ключ (например, от другого устройства или системы) и вы хотите использовать его напрямую. Когда использовать
localizedv2key
? Вы можете использовать опцию
localizedv2key
следующих сценариях: Согласованность между устройствами
: если вы управляете несколькими устройствами и хотите обеспечить использование одного и того же локализованного ключа для пользователя на всех устройствах, вы можете рассчитать локализованный ключ один раз и настроить его вручную с помощью
localizedv2key
.
Предварительно рассчитанные ключи
: если вы предварительно рассчитали локализованный ключ (например, с помощью скрипта или инструмента) и хотите использовать его напрямую, не полагаясь на устройство для его расчета из пароля.
Восстановление конфигураций
: если вы восстанавливаете конфигурацию SNMP из резервной копии, которая включает локализованные ключи, вы можете использовать
localizedv2key
, чтобы повторно применить точно такие же ключи. Как использовать
localizedv2key
? Чтобы использовать
localizedv2key
, необходимо: Рассчитать локализованный ключ
: для этого необходимо взять пароль в виде открытого текста и объединить его с идентификатором SNMP-движка устройства. Результатом будет шестнадцатеричная строка, представляющая локализованный ключ.
Ввести локализованный ключ в команду
: используйте команду
snmp-server user
с опцией
localizedv2key
и укажите локализованный ключ в шестнадцатеричном формате (с префиксом
0x
). Почему ваша попытка не удалась Ваша попытка не удалась, потому что вы указали пароль в виде открытого текста (
testing1
) в шестнадцатеричном формате (
74657374696e6731
) вместо
локализованного ключа
. Локализованный ключ не совпадает с паролем в шестнадцатеричном формате — он получается из пароля и идентификатора механизма SNMP. HTH AshSE -
Отличный ответ, спасибо. Дополнительный вопрос: если внесены изменения в «auth md5 xxxx» и «priv xxxx», повлияет ли это на соответствующий пароль для эквивалентного локального пользователя (и наоборот)? Я не уверен в этом, потому что вижу упоминание об этом в
Руководстве по управлению системой NX-OS v10.4
: Пароль
аутентификации,
указанный в команде
snmp-server user
command, становится паролем для пользователя CLI. -
@j.a.m.e.s
Насколько я понимаю,
по умолчанию
NXOS синхронизирует пользователей AAA (локальных пользователей на коммутаторе) и пользователей SNMPv3 на коммутаторе. Таким образом, если вы создадите локального пользователя AAA, NXOS по умолчанию создаст для вас пользователя SNMPv3 (с тем же паролем, что и у локального пользователя). И наоборот, если вы создадите пользователя SNMPv3, NXOS по умолчанию создаст для вас локального пользователя (с тем же паролем, что и у пользователя SNMPv3). Что касается
обновлений
пользователей, согласно приведенной ниже ссылке,
любые изменения конфигурации, внесенные в группу пользователей, роль или пароль, приводят к синхронизации базы данных как для SNMP, так и для AAA. Однако по ссылке ниже также указано, что
при настройке парольной фразы/пароля в
локализованном ключевом/зашифрованном формате
Cisco NX-OS
не синхронизирует
информацию о пользователе (пароли, роли и т. д.). https://www.cisco.com/c/en/us/td/docs/dcn/nx-os/nexus9000/102x/configuration/system-management/cisco-nexus-9000-series-nx-os-system-management-configuration-guide-102x/m-configuring-snmp-10x.html#con_1073680 Для меня эта синхронизация пользователей AAA-SNMPv3 нежелательна, поскольку мы запускаем команды для отдельного создания наших локальных пользователей и пользователей snmpv3 (которые не являются одинаковыми, т. е. у нас есть пользователи для AAA (локальный вход) и отдельные пользователи для работы с SNMPv3). Поэтому на моих коммутаторах NXOS я запускаю команду
snmp-server disable snmp-aaa sync
, чтобы отключить эту синхронизацию пользователей AAA-SNMPv3. 0xD2A6762E -
Спасибо, я упустил этот нюанс, связанный с
localizedkey/localizedV2key,
позволяющим использовать отдельные пароли для SNMPv3 и локальной базы данных пользователей AAA. Еще один вопрос по поводу
snmp-server disable snmp-aaa sync
. Мы обычно регулярно автоматически меняем локальные пароли AAA, так что означает ли эта команда, что нам понадобится инструмент для смены паролей, чтобы одновременно выполнить обновление команды snmp-server user? Предположительно, это также будет иметь место, если мы используем localizedkey/localizedV2key? -
@j.a.m.e.s
Да, если вы отключите синхронизацию snmp-aaa, вам нужно будет обновить пароли пользователей aaa и snmp отдельно. Кроме того, для ясности, синхронизация snmp-aaa происходит по умолчанию, независимо от того, используете ли вы localizedkey/localizedV2key или нет. 0xD2A6762E
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти