Aller au contenu principal

Annexe A. Installation

Cette annexe décrit une procédure d'installation pour le modèle de contrôle d'accès basé sur les vues. Elle est de nature tutorielle et ne contraint pas l'implémentation ou le déploiement. Elle est cohérente avec les exigences du document RFC 3411.

Il existe trois niveaux possibles de configuration initiale :

  1. initial-minimum-secure-configuration
  2. initial-semi-secure-configuration
  3. initial-no-access-configuration

La configuration initiale recommandée est l'initial-minimum-secure-configuration.

A.1. Configuration Initial-Minimum-Secure

L'initial-minimum-secure-configuration est la configuration initiale RECOMMANDÉE pour les déploiements où l'identité de l'utilisateur autorisé à effectuer des modifications de configuration est connue, et où l'utilisateur dispose d'un mécanisme pour s'authentifier auprès du moteur SNMP.

L'initial-minimum-secure-configuration consiste en :

1) Un utilisateur (identifié par un securityName) :

L'utilisateur "initial" est créé avec les caractéristiques suivantes :

  • securityName : "initial" (ou tout autre nom défini localement)
  • authentification : requise (en utilisant le modèle de sécurité basé sur l'utilisateur)
  • confidentialité : optionnelle

2) Un groupe (identifié par un groupName) :

Le groupe "initial" est créé, et le securityName "initial" (avec securityModel USM) est ajouté à ce groupe dans la vacmSecurityToGroupTable.

vacmSecurityModel                3 (USM)
vacmSecurityName                 "initial"
vacmGroupName                    "initial"
vacmSecurityToGroupStorageType   anyValidStorageType
vacmSecurityToGroupStatus        active

3) Droits d'accès pour le groupe :

Le groupe "initial" se voit accorder les droits d'accès suivants :

  • accès en lecture pour securityModel USM, securityLevel "noAuthNoPriv" au nom des securityNames qui appartiennent au groupe "initial" à la vue MIB <restricted> dans le contexte par défaut avec contextName "".

  • accès en lecture-écriture-notification pour securityModel USM, securityLevel "authNoPriv" au nom des securityNames qui appartiennent au groupe "initial" à la vue MIB <internet> dans le contexte par défaut avec contextName "".

  • si la confidentialité est prise en charge, accès en lecture-écriture-notification pour securityModel USM, securityLevel "authPriv" au nom des securityNames qui appartiennent au groupe "initial" à la vue MIB <internet> dans le contexte par défaut avec contextName "".

Cela se traduit par les entrées suivantes dans la vacmAccessTable.

  • Une entrée à utiliser pour l'accès non authentifié (noAuthNoPriv) :
vacmGroupName                    "initial"
vacmAccessContextPrefix          ""
vacmAccessSecurityModel          3 (USM)
vacmAccessSecurityLevel          noAuthNoPriv
vacmAccessContextMatch           exact
vacmAccessReadViewName           "restricted"
vacmAccessWriteViewName          ""
vacmAccessNotifyViewName         "restricted"
vacmAccessStorageType            anyValidStorageType
vacmAccessStatus                 active
  • Une entrée à utiliser pour l'accès authentifié (authNoPriv) avec confidentialité optionnelle (authPriv) :
vacmGroupName                    "initial"
vacmAccessContextPrefix          ""
vacmAccessSecurityModel          3 (USM)
vacmAccessSecurityLevel          authNoPriv
vacmAccessContextMatch           exact
vacmAccessReadViewName           "internet"
vacmAccessWriteViewName          "internet"
vacmAccessNotifyViewName         "internet"
vacmAccessStorageType            anyValidStorageType
vacmAccessStatus                 active

4) Deux vues MIB :

  • Une vue, la vue <internet>, pour l'accès authentifié :

    • la vue MIB <internet> est le sous-arbre suivant : "internet" (sous-arbre 1.3.6.1)

  • Une deuxième vue, la vue <restricted>, pour l'accès non authentifié :

    • la vue MIB <restricted> est le sous-arbre suivant : "internet" (sous-arbre 1.3.6.1)

Cela se traduit par l'entrée "internet" suivante dans la vacmViewTreeFamilyTable :

vacmViewTreeFamilyViewName    "internet"
vacmViewTreeFamilySubtree     1.3.6.1
vacmViewTreeFamilyMask        ""
vacmViewTreeFamilyType        1 (included)
vacmViewTreeFamilyStorageType anyValidStorageType
vacmViewTreeFamilyStatus      active

Et l'entrée "restricted" suivante :

vacmViewTreeFamilyViewName    "restricted"
vacmViewTreeFamilySubtree     1.3.6.1
vacmViewTreeFamilyMask        ""
vacmViewTreeFamilyType        1 (included)
vacmViewTreeFamilyStorageType anyValidStorageType
vacmViewTreeFamilyStatus      active

A.2. Configuration Initial-Semi-Secure

L'initial-semi-secure-configuration diffère de l'initial-minimum-secure-configuration uniquement dans la définition de la vue <restricted> pour l'accès non authentifié.

Pour l'initial-semi-secure-configuration, la vue MIB <restricted> est l'union de ces sous-arbres :

(a) "system"       (sous-arbre 1.3.6.1.2.1.1)      [RFC3418]
(b) "snmp"         (sous-arbre 1.3.6.1.2.1.11)     [RFC3418]
(c) "snmpEngine"   (sous-arbre 1.3.6.1.6.3.10.2.1) [RFC3411]
(d) "snmpMPDStats" (sous-arbre 1.3.6.1.6.3.11.2.1) [RFC3412]
(e) "usmStats"     (sous-arbre 1.3.6.1.6.3.15.1.1) [RFC3414]

Cela se traduit par les entrées "restricted" suivantes dans la vacmViewTreeFamilyTable :

vacmViewTreeFamilyViewName    "restricted"
vacmViewTreeFamilySubtree     1.3.6.1.2.1.1
vacmViewTreeFamilyMask        ""
vacmViewTreeFamilyType        1 (included)
vacmViewTreeFamilyStorageType anyValidStorageType
vacmViewTreeFamilyStatus      active

vacmViewTreeFamilyViewName    "restricted"
vacmViewTreeFamilySubtree     1.3.6.1.2.1.11
vacmViewTreeFamilyMask        ""
vacmViewTreeFamilyType        1 (included)
vacmViewTreeFamilyStorageType anyValidStorageType
vacmViewTreeFamilyStatus      active

vacmViewTreeFamilyViewName    "restricted"
vacmViewTreeFamilySubtree     1.3.6.1.6.3.10.2.1
vacmViewTreeFamilyMask        ""
vacmViewTreeFamilyType        1 (included)
vacmViewTreeFamilyStorageType anyValidStorageType
vacmViewTreeFamilyStatus      active

vacmViewTreeFamilyViewName    "restricted"
vacmViewTreeFamilySubtree     1.3.6.1.6.3.11.2.1
vacmViewTreeFamilyMask        ""
vacmViewTreeFamilyType        1 (included)
vacmViewTreeFamilyStorageType anyValidStorageType
vacmViewTreeFamilyStatus      active

vacmViewTreeFamilyViewName    "restricted"
vacmViewTreeFamilySubtree     1.3.6.1.6.3.15.1.1
vacmViewTreeFamilyMask        ""
vacmViewTreeFamilyType        1 (included)
vacmViewTreeFamilyStorageType anyValidStorageType
vacmViewTreeFamilyStatus      active

A.3. Configuration Initial-No-Access

L'initial-no-access-configuration ne fournit aucun accès par défaut à aucune information de gestion. Tous les droits d'accès doivent être configurés par des mécanismes locaux tels qu'une interface en ligne de commande ou un fichier de configuration.

Cette configuration consiste en une vacmSecurityToGroupTable vide, une vacmAccessTable vide et une vacmViewTreeFamilyTable vide.

Dernière mise à jour le