snmpusm.1.def
上传用户:wxp200602
上传日期:2007-10-30
资源大小:4028k
文件大小:7k
源码类别:

SNMP编程

开发平台:

Unix_Linux

  1. .TH SNMPUSM 1 "08 Feb 2002" VVERSIONINFO "Net-SNMP"
  2. .UC 4
  3. .SH NAME
  4. snmpusm - creates and maintains SNMPv3 users on a network entity
  5. .SH SYNOPSIS
  6. .B snmpusm
  7. [COMMON OPTIONS] 
  8. .B create
  9. USER [CLONEFROM-USER]
  10. .br
  11. .B snmpusm
  12. [COMMON OPTIONS] 
  13. .B delete
  14. USER
  15. .br
  16. .B snmpusm
  17. [COMMON OPTIONS]
  18. .B cloneFrom
  19. USER CLONEFROM-USER
  20. .br
  21. .B snmpusm
  22. [COMMON OPTIONS] [-Ca] [-Cx]
  23. .B passwd
  24. OLD-PASSPHRASE NEW-PASSPHRASE [USER]
  25. .br
  26. .B snmpusm
  27. [COMMON OPTIONS] <-Ca | -Cx> -Ck
  28. .B passwd
  29. OLD-LOCALIZED-KEY NEW-PASSPHRASE [USER]
  30. .br
  31. .B snmpusm
  32. [COMMON OPTIONS] [-Ca] [-Cx]
  33. .B changekey [USER]
  34. .SH DESCRIPTION
  35. .B snmpusm
  36. is an SNMP application that can be used to do simple maintenance on 
  37. the users known to an SNMP agent, by manipulating the agent's
  38. User-based Security Module (USM) table.  The user needs
  39. write access to the usmUserTable MIB table.  This tool can be
  40. used to create, delete, clone, and change the passphrase of users
  41. configured on a running SNMP agent.
  42. .SH OPTIONS
  43. .TP
  44. .BI -Ca
  45. Change the authentication key.
  46. .TP
  47. .BI -Cx
  48. Change the privacy key.
  49. .TP
  50. .BI -Ck
  51. Use old localized key instead of old passphrase.  When this option
  52. is used, either the -Ca or -Cx (but not both) option must also be used.
  53. .SH CREATING USERS
  54. .PP
  55. An unauthenticated SNMPv3 user can be created using the command
  56. .IP
  57. .B snmpusm
  58. create USER
  59. .PP
  60. This constructs an (inactive) entry in the usmUserTable,
  61. with no authentication or privacy settings.
  62. In principle, this user should be useable for 'noAuthNoPriv' requests,
  63. but in practise the Net-SNMP agent will not allow such an entry
  64. to be made active.
  65. .PP
  66. In order to activate this entry, it is necessary to "clone" an existing
  67. user, using the command
  68. .IP
  69. .B snmpusm
  70. cloneFrom USER CLONEFROM-USER
  71. .PP
  72. The USER entry then inherits the same authentication and privacy
  73. settings (including pass phrases) as the CLONEFROM user.
  74. .PP
  75. These two steps can be combined into one, by using the command
  76. .IP
  77. .B snmpusm
  78. create USER CLONEFROM-USER
  79. .PP
  80. The two forms of the
  81. .B create
  82. sub-command require that the user being created does not already exist.
  83. The
  84. .B cloneFrom
  85. sub-command requires that the user being cloned to
  86. .I does
  87. already exist.
  88. .PP
  89. Cloning is the only way to specify which authentication and privacy
  90. protocols to use for a given user, and it is only possible to do this
  91. once.  Subsequent attempts to reclone onto the same user will appear
  92. to succeed, but will be silently ignored.
  93. This (somewhat unexpected) behaviour is mandated by the SNMPv3
  94. USM specifications (RFC 2474).
  95. To change the authentication and privacy settings for a given user,
  96. it is necessary to delete and recreate the user entry.
  97. This is
  98. .I not
  99. necessary for simply changing the pass phrases (see below).
  100. This means that the agent must be initialized with at least one
  101. user for each combination of authentication and privacy protocols.
  102. See the
  103. .I snmpd.conf(5)
  104. manual page for details of the
  105. .B createUser
  106. configuration directive.
  107. .SH DELETING USERS
  108. A user can be deleted from the usmUserTable using the command
  109. .IP
  110. .B snmpusm
  111. delete USER
  112. .SH CHANGING PASS PHRASES
  113. User profiles contain private keys that are never
  114. transmitted over the wire in clear text (regardless of whether the
  115. administration requests are encrypted or not).  
  116. To change the secret key for a user, it is necessary to specify the
  117. user's old passphrase as well as the new one.
  118. This uses the command
  119. .IP
  120. .B snmpusm
  121. [-Ca] [-Cx] passwd OLD-PASSPHRASE NEW-PASSPHRASE [USER]
  122. .PP
  123. After cloning a new user entry from the appropriate template,
  124. you should immediately change the new user's passphrase.
  125. .PP
  126. If USER is not specified, this command will change the passphrase
  127. of the (SNMPv3) user issuing the command.  If the -Ca or -Cx options
  128. are specified, then only the authentication or privacy keys are changed.  If
  129. these options are not specified, then both the authentication and privacy keys
  130. are changed.
  131. .IP
  132. .B snmpusm
  133. [-Ca] [-Cx] changekey [USER]
  134. .PP
  135. This command changes the key in a perfect-forward-secrecy compliant
  136. way through a diffie-helman exchange.  The remote agent must support
  137. the SNMP-USM-DH-OBJECTS-MIB for this command to work.  The resulting
  138. keys are printed to the console and may be then set in future command
  139. invocations using the --defAuthLocalizedKey and --defPrivLocalizedKey
  140. options or in your snmp.conf file using the defAuthLocalizedKey and
  141. defPrivLocalizedKey keywords.
  142. .PP
  143. Note that since these keys are randomly generated based on a
  144. diffie helman exchange, they are no longer derived from a more easily
  145. typed password.  They are, however, much more secure.
  146. .PP
  147. To change from a localized key back to a password, the following variant
  148. of the 
  149. .B passwd
  150. sub-command is used:
  151. .IP
  152. .B snmpusm
  153. <-Ca | -Cx> -Ck passwd OLD-LOCALIZED-KEY NEW-PASSPHRASE [USER]
  154. .PP
  155. Either the -Ca or the -Cx option must be specified.  The OLD-LOCALIZED-KEY
  156. parameter is the localized key that was printed out by the
  157. .B changekey
  158. sub-command.
  159. .SH EXAMPLES
  160. .PP
  161. Let's assume for our examples that the following VACM and USM
  162. configurations lines were in the snmpd.conf file for a Net-SNMP agent.
  163. These lines set up a default user called "initial" with the
  164. authentication passphrase "setup_passphrase" so that we can perform
  165. the initial setup of an agent:
  166. .PP
  167. .RS
  168. .nf
  169. # VACM configuration entries
  170. rwuser initial
  171. # lets add the new user we'll create too:
  172. rwuser wes
  173. # USM configuration entries
  174. createUser initial MD5 setup_passphrase DES
  175. .fi
  176. .RE
  177. .PP
  178. Note: the "initial" user's setup should be removed after creating a
  179. real user that you grant administrative privileges to (like the user
  180. "wes" we'll be creating in this example.
  181. .PP
  182. Note: passphrases must be 8 characters
  183. .I minimum
  184. in length.
  185. .SS Create a new user
  186. .PP
  187. snmpusm -v3 -u initial -n "" -l authNoPriv -a MD5 -A setup_passphrase
  188. localhost create wes initial
  189. .IP
  190. Creates a new user, here named "wes" using the user "initial" to do
  191. it.  "wes" is cloned from "initial" in the process, so he inherits
  192. that user's passphrase ("setup_passphrase").
  193. .SS Change the user's passphrase
  194. .PP
  195. snmpusm -v 3 -u wes -n "" -l authNoPriv -a MD5 -A setup_passphrase
  196. localhost passwd setup_passphrase new_passphrase
  197. .IP
  198. After creating the user "wes" with the same passphrase as the
  199. "initial" user, we need to change his passphrase for him.  The above
  200. command changes it from "setup_passphrase", which was inherited from
  201. the initial user, to "new_passphrase".
  202. .SS Test the new user
  203. .PP
  204. snmpget -v 3 -u wes -n "" -l authNoPriv -a MD5 -A new_passphrase
  205. localhost sysUpTime.0
  206. .IP
  207. If the above commands were successful, this command should have
  208. properly performed an authenticated SNMPv3 GET request to the agent.
  209. .PP
  210. Now, go remove the vacm "group" snmpd.conf entry for the "initial"
  211. user and you have a valid user 'wes' that you can use for future
  212. transactions instead of initial.
  213. .SH WARNING
  214. Manipulating the usmUserTable using this command can
  215. .I only
  216. be done using SNMPv3.
  217. This command will not work with the community-based versions,
  218. even if they have write access to the table.
  219. .SH "SEE ALSO"
  220. snmpd.conf(5), snmp.conf(5), RFC 2574