Zum Hauptinhalt springen

1. Einführung

Die Architektur zur Beschreibung von Internet Management Frameworks [RFC3411] beschreibt, dass eine SNMP-Engine aus folgenden Komponenten besteht:

  1. einem Dispatcher
  2. einem Message Processing Subsystem,
  3. einem Security Subsystem, und
  4. einem Access Control Subsystem.

Anwendungen nutzen die Dienste dieser Subsysteme.

Es ist wichtig, die SNMP-Architektur und ihre Terminologie zu verstehen, um zu verstehen, wo das in diesem Dokument beschriebene View-based Access Control Model in die Architektur passt und mit anderen Subsystemen innerhalb der Architektur interagiert. Es wird erwartet, dass der Leser die Beschreibung und Terminologie der SNMP-Architektur, wie in [RFC3411] definiert, gelesen und verstanden hat.

Das Access Control Subsystem einer SNMP-Engine hat die Verantwortung zu prüfen, ob eine bestimmte Art des Zugriffs (Lesen, Schreiben, Benachrichtigen) auf ein bestimmtes Objekt (Instanz) erlaubt ist.

Zweck dieses Dokuments ist es, ein spezifisches Modell des Access Control Subsystems zu definieren, das als View-based Access Control Model bezeichnet wird. Beachten Sie, dass dies nicht unbedingt das einzige Access Control Model ist.

Die Schlüsselwörter "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY" und "OPTIONAL" in diesem Dokument sind wie in BCP 14, RFC 2119 beschrieben zu interpretieren.

1.2. Zugriffskontrolle

Zugriffskontrolle erfolgt (entweder implizit oder explizit) in einer SNMP-Entität bei der Verarbeitung von SNMP-Abruf- oder Änderungsanfragenachrichten von einer SNMP-Entität. Zum Beispiel wendet eine Command Responder-Anwendung Zugriffskontrolle an, wenn sie Anfragen verarbeitet, die sie von einer Command Generator-Anwendung erhalten hat. Diese Anfragen enthalten Read Class und Write Class PDUs, wie in [RFC3411] definiert.

Zugriffskontrolle erfolgt auch in einer SNMP-Entität, wenn eine SNMP-Benachrichtigungsnachricht generiert wird (von einer Notification Originator-Anwendung). Diese Benachrichtigungsnachrichten enthalten Notification Class PDUs, wie in [RFC3411] definiert.

Das View-based Access Control Model definiert einen Satz von Diensten, die eine Anwendung (wie eine Command Responder- oder Notification Originator-Anwendung) zur Prüfung von Zugriffsrechten verwenden kann. Es liegt in der Verantwortung der Anwendung, die entsprechenden Service-Aufrufe zur Zugriffsprüfung durchzuführen.

1.3. Lokaler Konfigurationsdatenspeicher

Um das in diesem Dokument beschriebene Modell zu implementieren, muss eine SNMP-Entität Informationen über Zugriffsrechte und Richtlinien aufbewahren. Diese Informationen sind Teil des Local Configuration Datastore (LCD) der SNMP-Engine. Siehe [RFC3411] für die Definition von LCD.

Um eine Fernkonfiguration des LCD einer SNMP-Entität zu ermöglichen, müssen Teile des LCD als verwaltete Objekte zugänglich sein. Ein MIB-Modul, die View-based Access Control Model Configuration MIB, das diese verwalteten Objekttypen definiert, ist in diesem Dokument enthalten.

Letztes Update am