Articles et actualités

19/04/2007 - Proxy SNMP

 

Dans certains cas, il est intéressant (voire nécessaire) d'implémenter un proxy SNMP afin de pouvoir interroger des équipements qui ne doivent (ou peuvent) pas joindre le serveur de supervision.

Dans ce cas nous utilisons un serveur relais (généralement un firewall Linux) possédant une interface sur chacun des réseaux et nous configurons son agent SNMP (la solution Open Source net-snmp anciennement ucd-snmp) afin d'agir comme proxy.

Suivant la communauté fournie, le proxy fera suivre la requête à des machines différentes.

Si on trouve quelques documents sur la configuration de cette fonctionnalité, la partie Contrôle d'Accès est en général omise, or elle est indispensable pour obtenir une solution qui fonctionne.

Nous reproduison donc ici l'intégralité du fichier /etc/snmpd/snmpd.conf :

 

#COM1 est la communauté par défaut pour l'agent lui-même

rocommunity COM1


view all_view included .1 80

 

# Les requêtes comportant le communauté COM2 seront affectées à l'utilisateur "USER1" et au contexte "CONTEXT1"  

com2sec -Cn CONTEXT1 USER1 default COM2

# L'utilisateur USER1 fait partie du groupe GROUP1

group GROUP1 v1 USER1

 

#Le groupe GROUP1 a tous les droits en lecture

access GROUP1 CONTEXT1 any noauth exact all_view none none

 

# Les requêtes appartenant au CONTEXT1 sont proxyées (?) vers la machine REMOTE1 avec la communauté REMOTECOM pour l'ensemble de la MIB (OID commençant par ".1.3")

proxy -Cn CONTEXT1 -v 1 -c REMOTECOM REMOTE1 .1.3

 

Enfin, envoyons les requêtes :

# snmpwalk localhost -c COM1 system.sysName.0
SNMPv2-MIB::sysName.0 = STRING: "nom_machine_locale"

#snmpwalk localhost -c COM2 system.sysName.0
SNMPv2-MIB::sysName.0 = STRING: "nom_machine_distante"

 

Si vous n'obtenez pas ces résultats, il est possible d'obtenir des traces en lançant le démon snmpd ainsi :

snmpd -f -Lsd -Dresult,proxy,vacm