Les précédents chapitres ont permis la création du premier utilisateur SNMPv3, appelé « root ». À l'image du système Unix sur lequel s'appuie Net-SNMP, je recommanderais donc de l'utiliser avec parcimonie et de créer des utilisateurs spécifiques pour tout autre usage que l'administration pure de l'agent SNMP. En effet, l'utilisateur « root » ainsi créé possède les droits d'écriture et donc de configuration de l'agent.

Pour créer de nouveaux utilisateurs, les commandes « snmpusm » et « snmpvacm » seront utilisées. La première permet de créer les utilisateurs et de mettre à jour leurs mots de passe alors que la seconde permet de gérer les ACL.

Le principal intérêt de ces commandes est qu'il est possible de les utiliser à distance et ne demande pas de redémarrer l'agent SNMP à chaque fois.

Par exemple, pour les besoins de la supervision, il est nécessaire de créer un utilisateur nommé « nagios » qui sera utilisé par les plugins du logiciel éponyme et n'a donc besoin que d'un accès en lecture sur la plupart des OID disponibles. En réalite, il est possible de limiter cet accès qu'aux seuls OID réellement nécessaires.

Création de l'utilisateur :
$ snmpusm -v 3 -u root -A <secret> localhost create nagios
User successfully created.

Cependant, ce nouvel utilisateur n'a aucun algorithme de d'authentification ni de chiffrement : il n'est pas utilisable. En pratique, il est nécessaire de cloner à partir d'un utilisateur existant. Il faut donc le supprimer pour pouvoir ensuite le cloner :

$ snmpusm -v 3 -u root -A <secret> localhost delete nagios
User successfully deleted.
$ snmpusm -v 3 -u root -A <secret> localhost create nagios root
User successfully created.

La seconde commande dispose d'un second argument qui est le nom de l'utilisateur à partir duquel le nouveau sera cloné. Il reste néanmoins nécessaire de lui accorder des droits :

$ snmpvacm -v 3 -u root -A <secret> localhost createSec2Group 3 nagios MyROGroup
Sec2group successfully created.

Cette commande lui permet d'avoir ainsi accès aux vues accordées au groupe MyROGroup. Sous Debian, par défaut, ce groupe a accès en lecture seule à l'ensemble des OID disponibles.

Pour finir, cet utilisateur a hérité du mot de passe de l'utilisateur root. Il est donc nécessaire de le changer par la suite :

$ snmpusm -v 3 -u root -A <secret> localhost -Ca passwd <secret> nagiosadmin nagios

Cette commande aura pour effet de modifier le mot de passe d'authentification (option -Ca) de l'utilisateur nagios. Pour le mot de passe de chiffrement, l'option est -Cx. Notez la seconde mention du mot de passe de root car il est nécessaire de préciser l'ancien mot de passe pour le modifier.