
Package NETSNMP - SNMP agent for fli4l
======================================

Dokumentation des OPT Pakets NETSNMP:



Beschreibung:
-------------

Das NETSNMP-Packet ermoeglicht die Abfrage von System-Parametern eines fli4l-
Routers ueber das Protokoll SNMP. Es ist moeglich, verschiedene Schnittstellen-
Parameter, Last-Werte, Speicher-Parameter und Daten aus dem lm_sensors-OPT-
Packet vie SNMP abzufragen. Auf diese Weise wird es moeglich, in einem
groesseren Netzwerk den fli4l-Router mit der Hilfe von Management-Software zu
ueberwachen.  Eine umfangreichere Beschreibung von SNMP und des Net-SNMP-
Packets wuerde den Rahmen dieser Dokumentation sprengen. Insofern sei auf die
Web-Seite des Net-SNMP-Projektes verwiesen (http://net-snmp.sourceforge.net).




Voraussetzungen:
----------------

Um NETSNMP verwenden zu koennen, sollte bereits eine funktionierende Fest-
platteninstallation von fli4l vorhanden sein. Aufgrund seiner Groesse laesst
sich NETSNMP nicht in eine Disketteninstallation einbauen. Darueber hinaus
sollte, je nach sonstiger Verwendung des fli4l-Routers, mindestens 64MB
RAM eingebaut sein. Ausserdem muss das lm_sensors-OPT-Packet installiert
sein.




Variablen in der Konfigurationsdatei netsnmp.txt:
-------------------------------------------------

	OPT_NETSNMP
			Wenn diese Variable auf "yes" gesetzt wird, dann wird
			der SNMP-Agent eingerichtet und gestartet.


	SNMP_RWCOMMUNITY
			Community-Name fuer Schreib-Lese-Zugriff. Mit diesem
			String wird ein Passwort fur den Zugriff nach SNMP
			Version 1 bzw. 2c festgelegt. Wird auch ein Passwort
			in der Variablen SNMP_RWUSER_PASSWORD (s.u.) angegeben,
			dann wird der Wert von SNMP_RWCOMMUNITY ignoriert und
			es ist nur noch ein Zugriff nach SNMP Version 3 auf den
			Agent moeglich.


	SNMP_ROCOMMUNITY
			Community-Name fuer Nur-Lese-Zugriff gemaess SNMP
			Version 1 oder 2c. Auch dieser Wert wird ignoriert,
			wenn SNMP_ROUSER_PASSWORD angegeben wurde.


	SNMP_TRAPCOMMUNITY
			Community-Name fuer Trap-Nachrichten gemaess SNMP
			Version 1 oder 2c. Version 3 wird aufgrund der kompli-
			zierten Konfiguration nicht von diesem OPT unterstuetzt.


	SNMP_RWUSER
			Benutzer-Name fuer Schreib-Lese-Zugriff nach SNMP
			Version 3.


	SNMP_RWUSER_PASSWORD
			Passwort fuer Schreib-Lese-Zugriff. Wird dieses Pass-
			wort angegeben, ist der SNMP-Agent nur ueber die
			Protokoll-Version 3 ansprechbar, und nicht mehr nach
			1 oder 2c.


	SNMP_ROUSER
			Benutzer-Name fuer Nur-Lese-Zugriff nach SNMP Version 3.


	SNMP_ROUSER_PASSWORD
			Passwort fuer Nur-Lese-Zugriff


	SNMP_TRAPD
			Wird dieser Parameter auf 'yes' gesetzt, wird der
			SNMP-Trap-Server gestartet. Dieser Server kann
			Trap-Nachrichten empfangen und im System-Log des
			fli4l-Rechners eintragen.


	SNMP_LOCATION
			Ort, an dem der fli4l-Router aufgestellt wurde.  Diesen
			String gibt der SNMP-Agent in der Location-OID zurueck.


	SNMP_CONTACT
			E-Mail-Adresse der Kontakt-Person, die fuer den fli4l-
			Router verantwortlich ist. Auch diesen String gibt der
			SNMP-Agent in der Contact-OID zurueck.


	SNMP_USERPROGS
			Wird dieser Parameter auf 'yes' gesetzt, werde einige
			zusätzliche Kommandozeilen-Programme wie snmpget, snmpwalk
			etc. installiert.


	SNMP_SAVE_PATH
			Die SNMP-Server speichern Benutzerdaten und Systemdaten
			wie z.B. die Anzahl der Boot-Vorgaenge in Dateien im
			Verzeichnis /var/run/snmp ab. Diese Dateien gehen beim
			Ausschalten des Rechners verloren. Um sie zu sichern,
			kann hier ein Verzeichnis auf einem nichtfluechtigen
			Datentraeger (Festplatte o.ae.) angegeben werden.



Sicherheit:
-----------

SNMP war in seiner urspruenglichen Inkarnation ein sehr unsicheres Protokoll.
Es wurde nur ein Passwort (genannt Community-String) jeweils fuer RW- und RO-
Zugriff definiert. Dieses Passwort wird in den Versionen 1 und 2c des Proto-
kolls im Klartext uebertragen und kann somit aehnlich wie beim Telnet-Proto-
koll problemlos abgehoert werden. In lokalen Netzen sollte dies zwar ueblicher-
weise kein grosses Problem sein, aber es stellt dennoch eine potentielle
Sicherheitsluecke dar. Deshalb wurde fuer Version 3 von SNMP die Angabe eines
Benutzernamens und eines Passwortes eingefuehrt, wobei das Passwort
verschluesselt uebertragen wird. Wann immer moeglich sollte man deshalb den
Zugriff nach Version 3 benutzen. Leider verstehen jedoch viele SNMP-Client-
Programme noch nicht diese neueste SNMP-Version, sondern beherrschen nur Ver-
sion 1 oder 2c.  Deshalb unterstuetzt dieses OPT auch noch die alte Community-
Angabe. Allerdings macht die Angabe eines Version-3-Passwortes wenig Sinn,
wenn man gleichzeitig auch den Community-Zugang erlauben wuerde. Deshalb igno-
riert dieses OPT die Community-Strings, wenn ein Benutzer-Passwort angegeben
wurde.



SNMP-Trap-Daemon:
-----------------

Via SNMP kann man sogenannte Trap- oder Inform-Nachrichten an einen Trap-Dienst
verschicken. Wenn die Variable SNMP_TRAPD auf 'yes' gesetzt wird, startet dieses
OPT neben dem normalen SNMPD-Server auch den SNMPTRAPD-Server. Trap-Nachrichten,
die an diesen Server von einem Client im lokalen Netz gesendet werden, werden im
System-Log protokolliert. Allerdings ist die Konfiguration des SNMPTRAPD-Servers
ueberaus kompliziert, insbesondere wenn Version 3 des SNMP-Protokolls verwendet
werden soll. Insofern ist nur eine rudimentaere Konfiguration des SNMPTRAPD
ueber die FLI4L-Konfigurationsdatei moeglich. Fuer weitergehende Konfigurationen
(wie z.B. den Aufruf eines bestimmten Programms bei Eintreffen einer bestimmten
Trap-Nachricht - beispielsweise zum Versenden einer SMS bei Ueberschreiten einer
Temperatur) ist unbedingt ein Blick in die Dokumentation auf der Web-Seite des
Net-Snmp-Projektes unter http://net-snmp.sourceforge.net angeraten. Dieses OPT
ermoeglicht es, eigene Konfigurationsdateien fuer den SNMPD und den SNMPTRAPD
zu schreiben. Diese heissen snmpd.conf und snmptrapd.conf und muessen in das
Verzeichnis etc/snmp unterhalb des Konfigurations-Verzeichnisses abgelegt wer-
den. Sie werden beim Starten des FLI4L-Systems nicht ueberschrieben. Ausserdem
koennen im Verzeichnis etc/snmp auch noch die Dateien snmpd.var.conf und
snmptrapd.var.conf abgelegt werden. Sie werden beim Start des Systems unter
den Namen snmpd.conf und snmptrapd.conf in das Verzeichnis /var/run/snmp kopiert
(zusaetzlich zu den entsprechenden Dateien in /etc) und muessen dann die SNMP-
Zugangsdaten enthalten. Ingesamt ist die eigenstaendige Konfiguration von SNMP
ausserhalb der normalen FLI4L-Konfigurationsdatei ziemlich komplex - entgegen
dem Buchstaben S in der Abkuerzung SNMP...


(gk) G. Kuhlmann

