Privilégios de acesso para um grupo SNMP
A SNMP versão 3 (SNMPv3) usa o modelo de controle de acesso baseado em visualização (VACM), que permite configurar os privilégios de acesso concedidos a um grupo. Você pode controlar o acesso filtrando os objetos MIB disponíveis para uma operação específica por meio de uma visão predefinida. Você atribui visualizações para determinar os objetos visíveis para ler, escrever e notificar as operações para um determinado grupo, usando um contexto específico, um modelo de segurança específico (v1, v2c ou usm) e um nível de segurança específico (autenticado, privacidade ou nenhum). Para obter informações sobre como configurar visualizações, consulte Configurar visualizações do MIB.
Você define o acesso do usuário às informações de gerenciamento no nível hierárquicos [edit snmp v3 vacm] . Todo controle de acesso dentro do VACM opera em grupos, que são coleções de usuários conforme definido pela USM, ou strings da comunidade conforme definido nos modelos de segurança SNMPv1 e SNMPv2c.
O termo security-name refere-se a esses usuários finais genéricos. O grupo ao qual um nome de segurança específico pertence está configurado no nível de [edit snmp v3 vacm security-to-group] hierarquia. Esse nome de segurança pode ser associado a um grupo definido no nível de [edit snmp v3 vacm security-to-group] hierarquia. Um grupo identifica uma coleção de usuários SNMP que compartilham a mesma política de acesso. Em seguida, você define os privilégios de acesso associados a um grupo no [edit snmp v3 vacm access] nível de hierarquia. Você pode definir o acesso usando visualizações. Para cada grupo, você pode aplicar visualizações diferentes dependendo da operação de SNMP; por exemplo, leia (getou getNextgetBulk) escreva (set), notificações, o nível de segurança usado (autenticação, privacidade ou nenhum) e o modelo de segurança (v1, v2c ou usm) usado em uma solicitação de SNMP.
Você configura membros de um grupo com a security-name declaração. Para pacotes v3 que usam USM, o nome de segurança é o mesmo que o nome de usuário. Para pacotes SNMPv1 ou SNMPv2c, o nome de segurança é determinado com base na string da comunidade. Os nomes de segurança são específicos para um modelo de segurança. Se você também estiver configurando políticas de acesso VACM para pacotes SNMPv1 ou SNMPv2c, você deve atribuir nomes de segurança a grupos para cada modelo de segurança (SNMPv1 ou SNMPv2c) no nível de [edit snmp v3 vacm security-to-group] hierarquia. Você também deve associar um nome de segurança a uma comunidade SNMP no nível de [edit snmp v3 snmp-community community-index] hierarquia.
Para configurar os privilégios de acesso para um grupo SNMP, inclua declarações no nível de [edit snmp v3 vacm] hierarquia. Para obter mais informações sobre esta declaração, veja vacm.
Configure os privilégios de acesso concedidos a um grupo
Este tópico inclui as seguintes seções:
- Configure o grupo
- Configure o modelo de segurança
- Configure o nível de segurança
- Visualizações do MIB associado com um grupo de usuários SNMP
Configure o grupo
Para configurar os privilégios de acesso concedidos a um grupo, inclua a group declaração no nível de [edit snmp v3 vacm access] hierarquia:
[edit snmp v3 vacm access] group group-name;
group-name é uma coleção de usuários SNMP que pertencem a uma lista SNMP comum que define uma política de acesso. Usuários pertencentes a um determinado grupo SNMP herdam todos os privilégios de acesso concedidos a esse grupo.
Configure o modelo de segurança
Para configurar o modelo de segurança, inclua a security-model declaração no nível de [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix)] hierarquia:
[edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix)] security-model (any | usm | v1 | v2c);
any— Qualquer modelo de segurançausm— Modelo de segurança SNMPv3v1— Modelo de segurança SNMPV1v2c— Modelo de segurança SNMPv2c
Configure o nível de segurança
Para configurar os privilégios de acesso concedidos a pacotes com um nível de segurança específico, inclua a security-level declaração no [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c)] nível de hierarquia:
[edit snmp v3 vacm access group group-name default-context-prefix security-model (any | usm | v1 | v2c)] security-level (authentication | none | privacy);
-
none— Não oferece autenticação nem criptografia. -
authentication— Fornece autenticação, mas sem criptografia. -
privacy— Fornece autenticação e criptografia.
Você pode conceder privilégios de acesso a todos os pacotes com um nível de segurança igual ou superior ao configurado. Se você estiver configurando o modelo de segurança SNMPv1 ou SNMPv2c, use none como nível de segurança. Se você estiver configurando o modelo de segurança SNMPv3 (USM), use o authenticationnível de , noneou privacy segurança.
Visualizações do MIB associado com um grupo de usuários SNMP
As opiniões do MIB definem privilégios de acesso para membros de um grupo. Você pode aplicar visualizações separadas para cada operação SNMP (leia, escreva e notifique) em cada modelo de segurança (usm, v1 e v2c) e cada nível de segurança (autenticação, nenhum e privacidade) suportado pelo SNMP.
Para associar visualizações de MIB a um grupo de usuários SNMP, inclua as seguintes declarações no nível de [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] hierarquia. Para obter mais informações sobre esta declaração, veja access (SNMP).
Você deve associar pelo menos uma visão (notificar, ler ou escrever) no nível de [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] hierarquia.
Você deve configurar a visão MIB no nível de [edit snmp view view-name] hierarquia. Para obter informações sobre como configurar as visualizações do MIB, consulte Configurar visualizações do MIB.
Esta seção descreve os seguintes tópicos relacionados a esta configuração:
- Configure a visualização de notificar
- Configure a visualização de leitura
- Configure a visualização de gravação
Configure a visualização de notificar
Para o associado notificar o acesso com um grupo de usuários SNMP, inclua a notify-view declaração no nível de [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] hierarquia. Para obter mais informações sobre esta declaração, veja notify-view.
view-name especifica o acesso de notificar, que é uma lista de notificações que podem ser enviadas a cada usuário em um grupo SNMP. Um nome de visualização não pode exceder 32 caracteres.
Configure a visualização de leitura
Para associar uma visão de leitura a um grupo SNMP, inclua a read-view declaração no nível de [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] hierarquia. Para obter mais informações sobre esta declaração, veja read-view.
view-name especifica o acesso para um grupo de usuários SNMP. Um nome de visualização não pode exceder 32 caracteres.
Configure a visualização de gravação
Para associar uma visão de gravação a um grupo de usuários SNMP, inclua a write-view declaração no nível de [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] hierarquia. Para obter mais informações sobre esta declaração, veja write-view.
view-name especifica o acesso de gravação para um grupo de usuários SNMP. Um nome de visualização não pode exceder 32 caracteres.
Exemplo: Configure os privilégios de acesso concedidos a um grupo
Definir privilégios de acesso:
[edit snmp v3 vacm]
access {
group group1 {
default-context-prefix {
security-model usm { #Define an SNMPv3 security model
security-level privacy {
notify-view nv1;
read-view rv1;
write-view wv1;
}
}
}
context-prefix lr1/ri1{ # routing instance ri1 in logical system lr1
security-model usm {
security-level privacy {
notify-view nv1;
read-view rv1;
write-view wv1;
}
}
}
}
group group2 {
default-context-prefix {
security-model usm { #Define an SNMPv3 security model
security-level authentication {
read-view rv2;
write-view wv2;
}
}
}
}
group group3 {
default-context-prefix {
security-model v1 { #Define an SNMPv3 security model
security-level none {
read-view rv3;
write-view wv3;
}
}
}
}
}
Atribua o modelo de segurança e o nome de segurança a um grupo
Para atribuir nomes de segurança a grupos, inclua as seguintes declarações no nível de [edit snmp v3 vacm security-to-group] hierarquia. Para obter mais informações sobre esta declaração, veja security-model (Group).
Este tópico inclui as seguintes seções:
Configure o modelo de segurança
Para configurar o modelo de segurança, inclua a security-model declaração no nível de [edit snmp v3 vacm security-to-group] hierarquia:
[edit snmp v3 vacm security-to-group] security-model (usm | v1 | v2c);
-
usm— Modelo de segurança SNMPv3 -
v1— Modelo de segurança SNMPv1 -
v2c— modelo de segurança SNMPv2
Atribua nomes de segurança a grupos
Para associar um nome de segurança a um usuário SNMPv3, ou uma string da comunidade v1 ou v2, inclua a security-name declaração no nível de [edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c)] hierarquia:
[edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c)] security-name security-name;
Para SNMPv3, o security-name nome de usuário é configurado no nível de [edit snmp v3 usm local-engine user username] hierarquia. Para SNMPv1 e SNMPv2c, o nome de segurança é a string da comunidade configurada no nível hierárquico [edit snmp v3 snmp-community community-index] . Para obter informações sobre a configuração de nomes de usuário, consulte Criar usuários SNMPv3. Para obter informações sobre a configuração de uma string da comunidade, consulte Configure a Comunidade SNMPv3.
O nome de segurança do USM é separado do nome de segurança SNMPv1 e SNMPv2c. Se você oferece suporte ao SNMPv1 e SNMPv2c, além do SNMPv3, você deve configurar nomes de segurança separados dentro da configuração de segurança para grupo no nível de [edit snmp v3 vacm access] hierarquia.
Configure o grupo
Depois de criar usuários SNMPv3, ou nomes de segurança v1 ou v2, você os associa a um grupo. Um grupo é um conjunto de nomes de segurança pertencentes a um modelo de segurança específico. Um grupo define os direitos de acesso para todos os usuários que o pertencem. Os direitos de acesso definem o que os objetos SNMP podem ler, se contorcer ou criar. Um grupo também define as notificações que um usuário pode receber.
Se você já tem um grupo que está configurado com todas as permissões de visualização e acesso que deseja dar a um usuário, você pode adicionar o usuário a esse grupo. Se você quiser dar a um usuário visualização e permissões de acesso que nenhum outro grupo tem, ou se você não tiver nenhum grupo configurado, crie um grupo e adicione o usuário a ele.
Para configurar os privilégios de acesso concedidos a um grupo, inclua a group declaração no nível de [edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c) security-name security-name] hierarquia. Para obter mais informações sobre esta declaração, veja group (Defining Access Privileges for an SNMPv3 Group).
Exemplo: Configuração do grupo de segurança
Atribua nomes de segurança a grupos:
vacm {
security-to-group {
security-model usm {
security-name user1 {
group group1;
}
security-name user2 {
group group2;
}
security-name user3 {
group group3;
}
}
}
}