Passa al contenuto principale

Appendice A. Installazione

Questa appendice descrive una procedura di installazione per il modello di controllo degli accessi basato su viste. È di natura tutorial e non vincola l'implementazione o la distribuzione. È coerente con i requisiti del documento RFC 3411.

Esistono tre possibili livelli di configurazione iniziale:

  1. initial-minimum-secure-configuration
  2. initial-semi-secure-configuration
  3. initial-no-access-configuration

La configurazione iniziale raccomandata è l'initial-minimum-secure-configuration.

A.1. Configurazione Initial-Minimum-Secure

L'initial-minimum-secure-configuration è la configurazione iniziale RACCOMANDATA per distribuzioni dove l'identità dell'utente autorizzato a effettuare modifiche di configurazione è nota, e dove l'utente ha un meccanismo per autenticarsi al motore SNMP.

L'initial-minimum-secure-configuration consiste in:

1) Un utente (identificato da un securityName):

L'utente "initial" viene creato con le seguenti caratteristiche:

  • securityName: "initial" (o qualsiasi altro nome definito localmente)
  • autenticazione: richiesta (utilizzando il modello di sicurezza basato sull'utente)
  • privacy: opzionale

2) Un gruppo (identificato da un groupName):

Il gruppo "initial" viene creato, e il securityName "initial" (con securityModel USM) viene aggiunto a questo gruppo nella vacmSecurityToGroupTable.

vacmSecurityModel                3 (USM)
vacmSecurityName                 "initial"
vacmGroupName                    "initial"
vacmSecurityToGroupStorageType   anyValidStorageType
vacmSecurityToGroupStatus        active

3) Diritti di accesso per il gruppo:

Al gruppo "initial" vengono concessi i seguenti diritti di accesso:

  • accesso in lettura per securityModel USM, securityLevel "noAuthNoPriv" per conto dei securityNames che appartengono al gruppo "initial" alla vista MIB <restricted> nel contesto predefinito con contextName "".

  • accesso lettura-scrittura-notifica per securityModel USM, securityLevel "authNoPriv" per conto dei securityNames che appartengono al gruppo "initial" alla vista MIB <internet> nel contesto predefinito con contextName "".

  • se la privacy è supportata, accesso lettura-scrittura-notifica per securityModel USM, securityLevel "authPriv" per conto dei securityNames che appartengono al gruppo "initial" alla vista MIB <internet> nel contesto predefinito con contextName "".

Questo si traduce nelle seguenti voci nella vacmAccessTable.

  • Una voce da utilizzare per l'accesso non autenticato (noAuthNoPriv):
vacmGroupName                    "initial"
vacmAccessContextPrefix          ""
vacmAccessSecurityModel          3 (USM)
vacmAccessSecurityLevel          noAuthNoPriv
vacmAccessContextMatch           exact
vacmAccessReadViewName           "restricted"
vacmAccessWriteViewName          ""
vacmAccessNotifyViewName         "restricted"
vacmAccessStorageType            anyValidStorageType
vacmAccessStatus                 active
  • Una voce da utilizzare per l'accesso autenticato (authNoPriv) con privacy opzionale (authPriv):
vacmGroupName                    "initial"
vacmAccessContextPrefix          ""
vacmAccessSecurityModel          3 (USM)
vacmAccessSecurityLevel          authNoPriv
vacmAccessContextMatch           exact
vacmAccessReadViewName           "internet"
vacmAccessWriteViewName          "internet"
vacmAccessNotifyViewName         "internet"
vacmAccessStorageType            anyValidStorageType
vacmAccessStatus                 active

4) Due viste MIB:

  • Una vista, la vista <internet>, per l'accesso autenticato:

    • la vista MIB <internet> è il seguente sottoalbero: "internet" (sottoalbero 1.3.6.1)

  • Una seconda vista, la vista <restricted>, per l'accesso non autenticato:

    • la vista MIB <restricted> è il seguente sottoalbero: "internet" (sottoalbero 1.3.6.1)

Questo si traduce nella seguente voce "internet" nella vacmViewTreeFamilyTable:

vacmViewTreeFamilyViewName    "internet"
vacmViewTreeFamilySubtree     1.3.6.1
vacmViewTreeFamilyMask        ""
vacmViewTreeFamilyType        1 (included)
vacmViewTreeFamilyStorageType anyValidStorageType
vacmViewTreeFamilyStatus      active

E la seguente voce "restricted":

vacmViewTreeFamilyViewName    "restricted"
vacmViewTreeFamilySubtree     1.3.6.1
vacmViewTreeFamilyMask        ""
vacmViewTreeFamilyType        1 (included)
vacmViewTreeFamilyStorageType anyValidStorageType
vacmViewTreeFamilyStatus      active

A.2. Configurazione Initial-Semi-Secure

L'initial-semi-secure-configuration differisce dall'initial-minimum-secure-configuration solo nella definizione della vista <restricted> per l'accesso non autenticato.

Per l'initial-semi-secure-configuration, la vista MIB <restricted> è l'unione di questi sottoalberi:

(a) "system"       (sottoalbero 1.3.6.1.2.1.1)      [RFC3418]
(b) "snmp"         (sottoalbero 1.3.6.1.2.1.11)     [RFC3418]
(c) "snmpEngine"   (sottoalbero 1.3.6.1.6.3.10.2.1) [RFC3411]
(d) "snmpMPDStats" (sottoalbero 1.3.6.1.6.3.11.2.1) [RFC3412]
(e) "usmStats"     (sottoalbero 1.3.6.1.6.3.15.1.1) [RFC3414]

Questo si traduce nelle seguenti voci "restricted" nella vacmViewTreeFamilyTable:

vacmViewTreeFamilyViewName    "restricted"
vacmViewTreeFamilySubtree     1.3.6.1.2.1.1
vacmViewTreeFamilyMask        ""
vacmViewTreeFamilyType        1 (included)
vacmViewTreeFamilyStorageType anyValidStorageType
vacmViewTreeFamilyStatus      active

vacmViewTreeFamilyViewName    "restricted"
vacmViewTreeFamilySubtree     1.3.6.1.2.1.11
vacmViewTreeFamilyMask        ""
vacmViewTreeFamilyType        1 (included)
vacmViewTreeFamilyStorageType anyValidStorageType
vacmViewTreeFamilyStatus      active

vacmViewTreeFamilyViewName    "restricted"
vacmViewTreeFamilySubtree     1.3.6.1.6.3.10.2.1
vacmViewTreeFamilyMask        ""
vacmViewTreeFamilyType        1 (included)
vacmViewTreeFamilyStorageType anyValidStorageType
vacmViewTreeFamilyStatus      active

vacmViewTreeFamilyViewName    "restricted"
vacmViewTreeFamilySubtree     1.3.6.1.6.3.11.2.1
vacmViewTreeFamilyMask        ""
vacmViewTreeFamilyType        1 (included)
vacmViewTreeFamilyStorageType anyValidStorageType
vacmViewTreeFamilyStatus      active

vacmViewTreeFamilyViewName    "restricted"
vacmViewTreeFamilySubtree     1.3.6.1.6.3.15.1.1
vacmViewTreeFamilyMask        ""
vacmViewTreeFamilyType        1 (included)
vacmViewTreeFamilyStorageType anyValidStorageType
vacmViewTreeFamilyStatus      active

A.3. Configurazione Initial-No-Access

L'initial-no-access-configuration non fornisce accesso predefinito a nessuna informazione di gestione. Tutti i diritti di accesso devono essere configurati tramite meccanismi locali come un'interfaccia a riga di comando o un file di configurazione.

Questa configurazione consiste in una vacmSecurityToGroupTable vuota, una vacmAccessTable vuota e una vacmViewTreeFamilyTable vuota.

Ultimo aggiornamento il