SNMPv3 要求を処理するには一般的に認証が必須です (要求されるセキュリティー・レベルが 'noAuth' 以外の場合)。 要求を認証するとき、SNMP エージェントは、SNMPv3 要求で送信された認証鍵を使用して、そのユーザー用に定義された認証鍵から作成されるメッセージ・ダイジェストと一致するメッセージ・ダイジェストが作成できるかを検証します。
snmp コマンドは、OSNMP.CONF 構成ファイルの 1 つのエントリーにある認証鍵を使用します。 この認証鍵は、エージェントの SNMPD.CONF 構成ファイル内の該当するユーザーの USM_USER エントリーで指定された認証鍵と相互に関連している必要があります。
認証鍵をクライアントの構成ファイルに保管する代わりとして、snmp コマンドはユーザー・パスワードの保管を 許可します。snmp コマンドがパスワードとともに構成される場合、コードはそのユーザー用の認証鍵を (そして、要求があれば秘密鍵も) 生成します。 これらの鍵は、もちろん、エージェントの SNMPD.CONF ファイル内で USM_USER 用に構成された鍵または SNMP SET コマンドで動的に構成された鍵と同じ認証値を生成する必要があります。ただし、クライアントの構成ファイルでパスワードを使用することは、構成ファイル内での鍵の使用よりも堅固でないと考えられます。
使用されるエージェントの識別番号が組み込まれた鍵は、地域化鍵と呼ばれます。 この鍵は、そのエージェントだけで使用できます。使用されるエージェントの engineID が組み込まれていない鍵は、非地域化鍵と呼ばれます。
snmp コマンドの構成ファイル OSNMP.CONF に保管される鍵は、非地域化鍵であることが 予期されます。SNMP エージェントの構成ファイル SNMPD.CONF に保管される鍵は、地域化鍵でも非地域化鍵でも構いませんが、地域化鍵を使用したほうが安全であると考えられます。
暗号化に使用される鍵は、認証に使用されるものと同じアルゴリズムを使用して生成されます。ただし、鍵の長さは異なることがあります。 例えば、HMAC-SHA 認証鍵の長さは 20 バイトですが、HMAC-SHA で使用される地域化された暗号鍵の長さ は 16 バイトしかありません。SNMP エージェント、z/OS® UNIX snmp コマンド、および SNMP マネージャー API は、HMAC-SHA 認証鍵の最初の 16 バイトを地域化された暗号鍵 (秘密鍵とも呼ばれます) として使用します。
z/OS Communications Server は、pwtokey と呼ばれる機能を提供します。この機能は、パスワードを地域化した認証鍵および地域化されていない認証鍵および秘密鍵に変換するものです。pwtokey プロシージャーは、入力としてパスワードとエージェントの ID をとり、認証鍵および秘密鍵を 生成します。pwtokey 機能が使用するプロシージャーが snmp コマンドで使用するアルゴリズムと同じなので、SNMP エージェントの構成者は、特定のパスワードとエージェントを実行する IP アドレスが与えられると、該当する認証鍵および秘密鍵を生成して、ユーザー用に SNMPD.CONF ファイルに入れることができます。
pwtokey コマンドを使用して、パスワードを認証鍵および秘密鍵に変換します。「z/OS Communications Server: IP システム管理者のコマンド」を参照してください。