メインコンテンツまでスキップ

付録A. インストール

この付録では、ビューベースアクセス制御モデルのインストール手順について説明します。これはチュートリアル的な性質のものであり、実装や展開を制約するものではありません。RFC 3411文書の要件と一致しています。

初期設定には3つのレベルがあります:

  1. initial-minimum-secure-configuration(初期最小セキュア構成)
  2. initial-semi-secure-configuration(初期半セキュア構成)
  3. initial-no-access-configuration(初期アクセスなし構成)

推奨される初期設定は、initial-minimum-secure-configurationです。

A.1. 初期最小セキュア構成

initial-minimum-secure-configurationは、設定変更を行う権限を持つユーザーのIDが既知であり、ユーザーがSNMPエンジンに対して自己認証するメカニズムを持っている展開で推奨される初期設定です。

initial-minimum-secure-configurationは以下で構成されます:

1) 1人のユーザー(securityNameで識別):

ユーザー"initial"は次の特性で作成されます:

  • securityName:"initial"(または他のローカル定義名)
  • 認証:必須(ユーザーベースセキュリティモデルを使用)
  • プライバシー:オプション

2) 1つのグループ(groupNameで識別):

グループ"initial"が作成され、securityName "initial"(securityModel USMを使用)がvacmSecurityToGroupTableのこのグループに追加されます。

vacmSecurityModel                3 (USM)
vacmSecurityName                 "initial"
vacmGroupName                    "initial"
vacmSecurityToGroupStorageType   anyValidStorageType
vacmSecurityToGroupStatus        active

3) グループのアクセス権:

グループ"initial"には次のアクセス権が付与されます:

  • securityModel USM、securityLevel "noAuthNoPriv"で、グループ"initial"に属するsecurityNameの代理として、デフォルトコンテキスト(contextNameが"")の<restricted> MIBビューへの読み取りアクセス。

  • securityModel USM、securityLevel "authNoPriv"で、グループ"initial"に属するsecurityNameの代理として、デフォルトコンテキスト(contextNameが"")の<internet> MIBビューへの読み取り/書き込み/通知アクセス。

  • プライバシーがサポートされている場合、securityModel USM、securityLevel "authPriv"で、グループ"initial"に属するsecurityNameの代理として、デフォルトコンテキスト(contextNameが"")の<internet> MIBビューへの読み取り/書き込み/通知アクセス。

これはvacmAccessTableの次のエントリに変換されます。

  • 非認証アクセス(noAuthNoPriv)に使用される1つのエントリ:
vacmGroupName                    "initial"
vacmAccessContextPrefix          ""
vacmAccessSecurityModel          3 (USM)
vacmAccessSecurityLevel          noAuthNoPriv
vacmAccessContextMatch           exact
vacmAccessReadViewName           "restricted"
vacmAccessWriteViewName          ""
vacmAccessNotifyViewName         "restricted"
vacmAccessStorageType            anyValidStorageType
vacmAccessStatus                 active
  • 認証アクセス(authNoPriv)およびオプションのプライバシー(authPriv)に使用される1つのエントリ:
vacmGroupName                    "initial"
vacmAccessContextPrefix          ""
vacmAccessSecurityModel          3 (USM)
vacmAccessSecurityLevel          authNoPriv
vacmAccessContextMatch           exact
vacmAccessReadViewName           "internet"
vacmAccessWriteViewName          "internet"
vacmAccessNotifyViewName         "internet"
vacmAccessStorageType            anyValidStorageType
vacmAccessStatus                 active

4) 2つのMIBビュー:

  • 1つのビュー、<internet>ビューは、認証アクセス用:

    • <internet> MIBビューは次のサブツリー:"internet"(サブツリー1.3.6.1)

  • 2番目のビュー、<restricted>ビューは、非認証アクセス用:

    • <restricted> MIBビューは次のサブツリー:"internet"(サブツリー1.3.6.1)

これはvacmViewTreeFamilyTableの次の"internet"エントリに変換されます:

vacmViewTreeFamilyViewName    "internet"
vacmViewTreeFamilySubtree     1.3.6.1
vacmViewTreeFamilyMask        ""
vacmViewTreeFamilyType        1 (included)
vacmViewTreeFamilyStorageType anyValidStorageType
vacmViewTreeFamilyStatus      active

および次の"restricted"エントリ:

vacmViewTreeFamilyViewName    "restricted"
vacmViewTreeFamilySubtree     1.3.6.1
vacmViewTreeFamilyMask        ""
vacmViewTreeFamilyType        1 (included)
vacmViewTreeFamilyStorageType anyValidStorageType
vacmViewTreeFamilyStatus      active

A.2. 初期半セキュア構成

initial-semi-secure-configurationは、非認証アクセス用の<restricted>ビューの定義のみが異なります。

initial-semi-secure-configurationの場合、<restricted> MIBビューは次のサブツリーの結合です:

(a) "system"       (サブツリー1.3.6.1.2.1.1)      [RFC3418]
(b) "snmp"         (サブツリー1.3.6.1.2.1.11)     [RFC3418]
(c) "snmpEngine"   (サブツリー1.3.6.1.6.3.10.2.1) [RFC3411]
(d) "snmpMPDStats" (サブツリー1.3.6.1.6.3.11.2.1) [RFC3412]
(e) "usmStats"     (サブツリー1.3.6.1.6.3.15.1.1) [RFC3414]

これはvacmViewTreeFamilyTableの次の"restricted"エントリに変換されます:

vacmViewTreeFamilyViewName    "restricted"
vacmViewTreeFamilySubtree     1.3.6.1.2.1.1
vacmViewTreeFamilyMask        ""
vacmViewTreeFamilyType        1 (included)
vacmViewTreeFamilyStorageType anyValidStorageType
vacmViewTreeFamilyStatus      active

vacmViewTreeFamilyViewName    "restricted"
vacmViewTreeFamilySubtree     1.3.6.1.2.1.11
vacmViewTreeFamilyMask        ""
vacmViewTreeFamilyType        1 (included)
vacmViewTreeFamilyStorageType anyValidStorageType
vacmViewTreeFamilyStatus      active

vacmViewTreeFamilyViewName    "restricted"
vacmViewTreeFamilySubtree     1.3.6.1.6.3.10.2.1
vacmViewTreeFamilyMask        ""
vacmViewTreeFamilyType        1 (included)
vacmViewTreeFamilyStorageType anyValidStorageType
vacmViewTreeFamilyStatus      active

vacmViewTreeFamilyViewName    "restricted"
vacmViewTreeFamilySubtree     1.3.6.1.6.3.11.2.1
vacmViewTreeFamilyMask        ""
vacmViewTreeFamilyType        1 (included)
vacmViewTreeFamilyStorageType anyValidStorageType
vacmViewTreeFamilyStatus      active

vacmViewTreeFamilyViewName    "restricted"
vacmViewTreeFamilySubtree     1.3.6.1.6.3.15.1.1
vacmViewTreeFamilyMask        ""
vacmViewTreeFamilyType        1 (included)
vacmViewTreeFamilyStorageType anyValidStorageType
vacmViewTreeFamilyStatus      active

A.3. 初期アクセスなし構成

initial-no-access-configurationは、どの管理情報へのデフォルトアクセスも提供しません。すべてのアクセス権は、コマンドラインインターフェイスや設定ファイルなどのローカルメカニズムを介して設定する必要があります。

この設定は、空のvacmSecurityToGroupTable、空のvacmAccessTable、および空のvacmViewTreeFamilyTableで構成されます。

最終更新