Zum Hauptinhalt springen

Anhang A. Installation

Dieser Anhang beschreibt ein Installationsverfahren für das View-based Access Control Model. Er ist tutorieller Natur und schränkt Implementierung oder Bereitstellung nicht ein. Er ist konsistent mit den Anforderungen des RFC 3411-Dokuments.

Es gibt drei mögliche Stufen der Anfangskonfiguration:

  1. initial-minimum-secure-configuration
  2. initial-semi-secure-configuration
  3. initial-no-access-configuration

Die empfohlene Anfangskonfiguration ist die initial-minimum-secure-configuration.

A.1. Initial-Minimum-Secure-Configuration

Die initial-minimum-secure-configuration ist die EMPFOHLENE Anfangskonfiguration für Bereitstellungen, bei denen die Identität des Benutzers, der berechtigt ist, Konfigurationsänderungen vorzunehmen, bekannt ist und der Benutzer über einen Mechanismus zur Authentifizierung bei der SNMP-Engine verfügt.

Die initial-minimum-secure-configuration besteht aus:

1) Einem Benutzer (identifiziert durch einen securityName):

Der Benutzer "initial" wird mit folgenden Merkmalen erstellt:

  • securityName: "initial" (oder ein anderer lokal definierter Name)
  • Authentifizierung: erforderlich (unter Verwendung des User-based Security Model)
  • Privatsphäre: optional

2) Einer Gruppe (identifiziert durch einen groupName):

Die Gruppe "initial" wird erstellt, und der securityName "initial" (mit securityModel USM) wird dieser Gruppe in der vacmSecurityToGroupTable hinzugefügt.

vacmSecurityModel                3 (USM)
vacmSecurityName                 "initial"
vacmGroupName                    "initial"
vacmSecurityToGroupStorageType   anyValidStorageType
vacmSecurityToGroupStatus        active

3) Zugriffsrechten für die Gruppe:

Der Gruppe "initial" werden folgende Zugriffsrechte gewährt:

  • Lesezugriff für securityModel USM, securityLevel "noAuthNoPriv" im Namen von securityNames, die zur Gruppe "initial" gehören, auf die <restricted> MIB-View im Standardkontext mit contextName "".

  • Lese-Schreib-Benachrichtigungszugriff für securityModel USM, securityLevel "authNoPriv" im Namen von securityNames, die zur Gruppe "initial" gehören, auf die <internet> MIB-View im Standardkontext mit contextName "".

  • Falls Privatsphäre unterstützt wird, Lese-Schreib-Benachrichtigungszugriff für securityModel USM, securityLevel "authPriv" im Namen von securityNames, die zur Gruppe "initial" gehören, auf die <internet> MIB-View im Standardkontext mit contextName "".

Dies übersetzt sich in folgende Einträge in der vacmAccessTable.

  • Ein Eintrag für nicht authentifizierten Zugriff (noAuthNoPriv):
vacmGroupName                    "initial"
vacmAccessContextPrefix          ""
vacmAccessSecurityModel          3 (USM)
vacmAccessSecurityLevel          noAuthNoPriv
vacmAccessContextMatch           exact
vacmAccessReadViewName           "restricted"
vacmAccessWriteViewName          ""
vacmAccessNotifyViewName         "restricted"
vacmAccessStorageType            anyValidStorageType
vacmAccessStatus                 active
  • Ein Eintrag für authentifizierten Zugriff (authNoPriv) mit optionaler Privatsphäre (authPriv):
vacmGroupName                    "initial"
vacmAccessContextPrefix          ""
vacmAccessSecurityModel          3 (USM)
vacmAccessSecurityLevel          authNoPriv
vacmAccessContextMatch           exact
vacmAccessReadViewName           "internet"
vacmAccessWriteViewName          "internet"
vacmAccessNotifyViewName         "internet"
vacmAccessStorageType            anyValidStorageType
vacmAccessStatus                 active

4) Zwei MIB-Views:

  • Eine View, die <internet>-View, für authentifizierten Zugriff:

    • die <internet> MIB-View ist der folgende Subtree: "internet" (Subtree 1.3.6.1)

  • Eine zweite View, die <restricted>-View, für nicht authentifizierten Zugriff:

    • die <restricted> MIB-View ist der folgende Subtree: "internet" (Subtree 1.3.6.1)

Dies übersetzt sich in folgenden "internet"-Eintrag in der vacmViewTreeFamilyTable:

vacmViewTreeFamilyViewName    "internet"
vacmViewTreeFamilySubtree     1.3.6.1
vacmViewTreeFamilyMask        ""
vacmViewTreeFamilyType        1 (included)
vacmViewTreeFamilyStorageType anyValidStorageType
vacmViewTreeFamilyStatus      active

Und den folgenden "restricted"-Eintrag:

vacmViewTreeFamilyViewName    "restricted"
vacmViewTreeFamilySubtree     1.3.6.1
vacmViewTreeFamilyMask        ""
vacmViewTreeFamilyType        1 (included)
vacmViewTreeFamilyStorageType anyValidStorageType
vacmViewTreeFamilyStatus      active

A.2. Initial-Semi-Secure-Configuration

Die initial-semi-secure-configuration unterscheidet sich von der initial-minimum-secure-configuration nur in der Definition der <restricted>-View für nicht authentifizierten Zugriff.

Für die initial-semi-secure-configuration ist die <restricted> MIB-View die Vereinigung dieser Subtrees:

(a) "system"       (Subtree 1.3.6.1.2.1.1)      [RFC3418]
(b) "snmp"         (Subtree 1.3.6.1.2.1.11)     [RFC3418]
(c) "snmpEngine"   (Subtree 1.3.6.1.6.3.10.2.1) [RFC3411]
(d) "snmpMPDStats" (Subtree 1.3.6.1.6.3.11.2.1) [RFC3412]
(e) "usmStats"     (Subtree 1.3.6.1.6.3.15.1.1) [RFC3414]

Dies übersetzt sich in folgende "restricted"-Einträge in der vacmViewTreeFamilyTable:

vacmViewTreeFamilyViewName    "restricted"
vacmViewTreeFamilySubtree     1.3.6.1.2.1.1
vacmViewTreeFamilyMask        ""
vacmViewTreeFamilyType        1 (included)
vacmViewTreeFamilyStorageType anyValidStorageType
vacmViewTreeFamilyStatus      active

vacmViewTreeFamilyViewName    "restricted"
vacmViewTreeFamilySubtree     1.3.6.1.2.1.11
vacmViewTreeFamilyMask        ""
vacmViewTreeFamilyType        1 (included)
vacmViewTreeFamilyStorageType anyValidStorageType
vacmViewTreeFamilyStatus      active

vacmViewTreeFamilyViewName    "restricted"
vacmViewTreeFamilySubtree     1.3.6.1.6.3.10.2.1
vacmViewTreeFamilyMask        ""
vacmViewTreeFamilyType        1 (included)
vacmViewTreeFamilyStorageType anyValidStorageType
vacmViewTreeFamilyStatus      active

vacmViewTreeFamilyViewName    "restricted"
vacmViewTreeFamilySubtree     1.3.6.1.6.3.11.2.1
vacmViewTreeFamilyMask        ""
vacmViewTreeFamilyType        1 (included)
vacmViewTreeFamilyStorageType anyValidStorageType
vacmViewTreeFamilyStatus      active

vacmViewTreeFamilyViewName    "restricted"
vacmViewTreeFamilySubtree     1.3.6.1.6.3.15.1.1
vacmViewTreeFamilyMask        ""
vacmViewTreeFamilyType        1 (included)
vacmViewTreeFamilyStorageType anyValidStorageType
vacmViewTreeFamilyStatus      active

A.3. Initial-No-Access-Configuration

Die initial-no-access-configuration bietet keinen Standardzugriff auf Verwaltungsinformationen. Alle Zugriffsrechte müssen über lokale Mechanismen wie eine Befehlszeilenschnittstelle oder Konfigurationsdatei konfiguriert werden.

Diese Konfiguration besteht aus einer leeren vacmSecurityToGroupTable, einer leeren vacmAccessTable und einer leeren vacmViewTreeFamilyTable.

Letztes Update am