Zugriffsrechte für eine SNMP-Gruppe
SNMP Version 3 (SNMPv3) verwendet das ansichtsbasierte Zugriffssteuerungsmodell (VACM), mit dem Sie die Zugriffsberechtigungen konfigurieren können, die einer Gruppe gewährt werden. Sie können den Zugriff steuern, indem Sie die MIB-Objekte, die für einen bestimmten Vorgang verfügbar sind, über eine vordefinierte Ansicht filtern. Sie weisen Ansichten zu, um die Objekte zu bestimmen, die für Lese-, Schreib- und Benachrichtigungsvorgänge für eine bestimmte Gruppe sichtbar sind, indem Sie einen bestimmten Kontext, ein bestimmtes Sicherheitsmodell (v1, v2c oder usm) und eine bestimmte Sicherheitsstufe (authentifiziert, Datenschutz oder keine) verwenden. Weitere Informationen zum Konfigurieren von Ansichten finden Sie unter Konfigurieren von MIB-Ansichten.
Sie definieren den Benutzerzugriff auf Verwaltungsinformationen auf der [edit snmp v3 vacm] Hierarchieebene. Die gesamte Zugriffssteuerung innerhalb von VACM arbeitet mit Gruppen, bei denen es sich um Sammlungen von Benutzern handelt, wie von USM definiert, oder Community-Zeichenfolgen, wie in den Sicherheitsmodellen SNMPv1 und SNMPv2c definiert.
Der Begriff security-name bezieht sich auf diese generischen Endbenutzer. Die Gruppe, zu der ein bestimmter Sicherheitsname gehört, wird auf Hierarchieebene [edit snmp v3 vacm security-to-group] konfiguriert. Dieser Sicherheitsname kann einer Gruppe zugeordnet werden, die auf Hierarchieebene [edit snmp v3 vacm security-to-group] definiert ist. Eine Gruppe identifiziert eine Sammlung von SNMP-Benutzern, die dieselbe Zugriffsrichtlinie verwenden. Anschließend definieren Sie die Zugriffsberechtigungen, die einer Gruppe auf Hierarchieebene [edit snmp v3 vacm access] zugeordnet sind. Sie können den Zugriff über Ansichten definieren. Für jede Gruppe können Sie je nach SNMP-Vorgang unterschiedliche Ansichten anwenden. z. B. Read (get, , oder getBulk) Write (set), Benachrichtigungen, die verwendete Sicherheitsstufe (Authentifizierung, Datenschutz oder keine) und das Sicherheitsmodell (v1, v2c oder USM), das in einer SNMP-Anforderung getNextverwendet wird.
Mit der security-name Anweisung konfigurieren Sie Mitglieder einer Gruppe. Bei v3-Paketen, die USM verwenden, ist der Sicherheitsname derselbe wie der Benutzername. Bei SNMPv1- oder SNMPv2c-Paketen wird der Sicherheitsname basierend auf der Community-Zeichenfolge bestimmt. Sicherheitsnamen sind spezifisch für ein Sicherheitsmodell. Wenn Sie auch VACM-Zugriffsrichtlinien für SNMPv1- oder SNMPv2c-Pakete konfigurieren, müssen Sie Gruppen für jedes Sicherheitsmodell (SNMPv1 oder SNMPv2c) auf Hierarchieebene [edit snmp v3 vacm security-to-group] Sicherheitsnamen zuweisen. Außerdem müssen Sie einer SNMP-Community auf Hierarchieebene [edit snmp v3 snmp-community community-index] einen Sicherheitsnamen zuordnen.
Um die Zugriffsrechte für eine SNMP-Gruppe zu konfigurieren, schließen Sie Anweisungen auf Hierarchieebene [edit snmp v3 vacm] ein. Weitere Informationen zu dieser Anweisung finden Sie unter vacm.
Konfigurieren der Zugriffsberechtigungen, die einer Gruppe gewährt werden
Dieses Thema umfasst die folgenden Abschnitte:
- Konfigurieren der Gruppe
- Konfigurieren des Sicherheitsmodells
- Konfigurieren der Sicherheitsstufe
- Zuordnen von MIB-Ansichten zu einer SNMP-Benutzergruppe
Konfigurieren der Gruppe
Um die Zugriffsrechte zu konfigurieren, die einer Gruppe gewährt werden, fügen Sie die group Anweisung auf Hierarchieebene [edit snmp v3 vacm access] ein:
[edit snmp v3 vacm access] group group-name;
group-name ist eine Sammlung von SNMP-Benutzern, die zu einer gemeinsamen SNMP-Liste gehören, die eine Zugriffsrichtlinie definiert. Benutzer, die einer bestimmten SNMP-Gruppe angehören, erben alle Zugriffsrechte, die dieser Gruppe gewährt wurden.
Konfigurieren des Sicherheitsmodells
Um das Sicherheitsmodell zu konfigurieren, fügen Sie die security-model Anweisung auf Hierarchieebene [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix)] ein:
[edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix)] security-model (any | usm | v1 | v2c);
any– Jedes Sicherheitsmodellusm—SNMPv3-Sicherheitsmodellv1—Sicherheitsmodell SNMPV1v2c—SNMPv2c-Sicherheitsmodell
Konfigurieren der Sicherheitsstufe
Um die Zugriffsrechte zu konfigurieren, die Paketen mit einer bestimmten Sicherheitsstufe gewährt werden, fügen Sie die security-level Anweisung auf Hierarchieebene [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c)] ein:
[edit snmp v3 vacm access group group-name default-context-prefix security-model (any | usm | v1 | v2c)] security-level (authentication | none | privacy);
-
none– Bietet keine Authentifizierung und keine Verschlüsselung. -
authentication: Bietet Authentifizierung, aber keine Verschlüsselung. -
privacy: Bietet Authentifizierung und Verschlüsselung.
Sie können Zugriffsrechte für alle Pakete mit einer Sicherheitsstufe erteilen, die gleich oder höher als die konfigurierte ist. Wenn Sie das Sicherheitsmodell SNMPv1 oder SNMPv2c konfigurieren, verwenden Sie als none Sicherheitsstufe. Wenn Sie das SNMPv3-Sicherheitsmodell (USM) konfigurieren, verwenden Sie die authenticationSicherheitsstufe , noneoder privacy .
Zuordnen von MIB-Ansichten zu einer SNMP-Benutzergruppe
MIB-Ansichten definieren Zugriffsrechte für Mitglieder einer Gruppe. Sie können separate Ansichten für jeden SNMP-Vorgang (Lesen, Schreiben und Benachrichtigen) innerhalb jedes Sicherheitsmodells (usm, v1 und v2c) und jeder von SNMP unterstützten Sicherheitsstufe (Authentifizierung, keine und Datenschutz) anwenden.
Um MIB-Ansichten einer SNMP-Benutzergruppe zuzuordnen, schließen Sie die folgenden Anweisungen auf Hierarchieebene [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] ein. Weitere Informationen zu dieser Anweisung finden Sie unter access (SNMP).
Sie müssen mindestens eine Sicht (benachrichtigen, lesen oder schreiben) auf der Hierarchieebene [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] zuordnen.
Sie müssen die MIB-Sicht auf der [edit snmp view view-name] Hierarchieebene konfigurieren. Weitere Informationen zum Konfigurieren von MIB-Ansichten finden Sie unter Konfigurieren von MIB-Ansichten.
In diesem Abschnitt werden die folgenden Themen im Zusammenhang mit dieser Konfiguration beschrieben:
- Konfigurieren der Benachrichtigungsansicht
- Konfigurieren der Leseansicht
- Konfigurieren der Schreibansicht
Konfigurieren der Benachrichtigungsansicht
Um den Benachrichtigungszugriff einer SNMP-Benutzergruppe zuzuordnen, fügen Sie die notify-view Anweisung auf Hierarchieebene [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] ein. Weitere Informationen zu dieser Anweisung finden Sie unter notify-view.
view-name gibt den Benachrichtigungszugriff an, bei dem es sich um eine Liste von Benachrichtigungen handelt, die an jeden Benutzer in einer SNMP-Gruppe gesendet werden können. Ein Ansichtsname darf nicht länger als 32 Zeichen sein.
Konfigurieren der Leseansicht
Um eine Leseansicht einer SNMP-Gruppe zuzuordnen, schließen Sie die read-view Anweisung auf Hierarchieebene [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] ein. Weitere Informationen zu dieser Anweisung finden Sie unter read-view.
view-name gibt den Lesezugriff für eine SNMP-Benutzergruppe an. Ein Ansichtsname darf nicht länger als 32 Zeichen sein.
Konfigurieren der Schreibansicht
Um eine Schreibansicht einer SNMP-Benutzergruppe zuzuordnen, schließen Sie die write-view Anweisung auf Hierarchieebene [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] ein. Weitere Informationen zu dieser Anweisung finden Sie unter write-view.
view-name gibt Schreibzugriff für eine SNMP-Benutzergruppe an. Ein Ansichtsname darf nicht länger als 32 Zeichen sein.
Beispiel: Konfigurieren der Zugriffsberechtigungen, die einer Gruppe gewährt werden
Zugriffsrechte definieren:
[edit snmp v3 vacm]
access {
group group1 {
default-context-prefix {
security-model usm { #Define an SNMPv3 security model
security-level privacy {
notify-view nv1;
read-view rv1;
write-view wv1;
}
}
}
context-prefix lr1/ri1{ # routing instance ri1 in logical system lr1
security-model usm {
security-level privacy {
notify-view nv1;
read-view rv1;
write-view wv1;
}
}
}
}
group group2 {
default-context-prefix {
security-model usm { #Define an SNMPv3 security model
security-level authentication {
read-view rv2;
write-view wv2;
}
}
}
}
group group3 {
default-context-prefix {
security-model v1 { #Define an SNMPv3 security model
security-level none {
read-view rv3;
write-view wv3;
}
}
}
}
}
Zuweisen von Sicherheitsmodell und Sicherheitsname zu einer Gruppe
Um Gruppen Sicherheitsnamen zuzuweisen, fügen Sie die folgenden Anweisungen auf Hierarchieebene [edit snmp v3 vacm security-to-group] ein. Weitere Informationen zu dieser Anweisung finden Sie unter security-model (Group).
Dieses Thema umfasst die folgenden Abschnitte:
- Konfigurieren des Sicherheitsmodells
- Zuweisen von Sicherheitsnamen zu Gruppen
- Konfigurieren der Gruppe
Konfigurieren des Sicherheitsmodells
Um das Sicherheitsmodell zu konfigurieren, fügen Sie die security-model Anweisung auf Hierarchieebene [edit snmp v3 vacm security-to-group] ein:
[edit snmp v3 vacm security-to-group] security-model (usm | v1 | v2c);
-
usm—SNMPv3-Sicherheitsmodell -
v1—SNMPv1-Sicherheitsmodell -
v2c—SNMPv2-Sicherheitsmodell
Zuweisen von Sicherheitsnamen zu Gruppen
Um einem SNMPv3-Benutzer einen Sicherheitsnamen oder einer v1- oder v2-Communityzeichenfolge zuzuordnen, fügen Sie die security-name Anweisung auf Hierarchieebene [edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c)] ein:
[edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c)] security-name security-name;
Für SNMPv3 ist das security-name der Benutzername, der auf Hierarchieebene [edit snmp v3 usm local-engine user username] konfiguriert ist. Bei SNMPv1 und SNMPv2c ist der Sicherheitsname die Community-Zeichenfolge, die auf Hierarchieebene [edit snmp v3 snmp-community community-index] konfiguriert wurde. Weitere Informationen zum Konfigurieren von Benutzernamen finden Sie unter Erstellen von SNMPv3-Benutzern. Weitere Informationen zum Konfigurieren einer Communityzeichenfolge finden Sie unter Konfigurieren der SNMPv3-Community.
Der USM-Sicherheitsname ist vom SNMPv1- und SNMPv2c-Sicherheitsnamen getrennt. Wenn Sie neben SNMPv3 auch SNMPv1 und SNMPv2c unterstützen, müssen Sie innerhalb der Sicherheits-zu-Gruppe-Konfiguration auf Hierarchieebene [edit snmp v3 vacm access] separate Sicherheitsnamen konfigurieren.
Konfigurieren der Gruppe
Nachdem Sie SNMPv3-Benutzer oder v1- oder v2-Sicherheitsnamen erstellt haben, ordnen Sie sie einer Gruppe zu. Bei einer Gruppe handelt es sich um eine Gruppe von Sicherheitsnamen, die zu einem bestimmten Sicherheitsmodell gehören. Eine Gruppe definiert die Zugriffsrechte für alle zugehörigen Benutzer. Zugriffsrechte definieren, was SNMP-Objekte lesen, schreiben oder erstellen können. Eine Gruppe definiert auch die Benachrichtigungen, die ein Benutzer erhalten kann.
Wenn Sie bereits über eine Gruppe verfügen, die mit allen Ansichts- und Zugriffsberechtigungen konfiguriert ist, die Sie einem Benutzer erteilen möchten, können Sie den Benutzer zu dieser Gruppe hinzufügen. Wenn Sie einem Benutzer Ansichts- und Zugriffsberechtigungen erteilen möchten, über die keine anderen Gruppen verfügen, oder wenn Sie keine Gruppen konfiguriert haben, erstellen Sie eine Gruppe, und fügen Sie den Benutzer hinzu.
Um die Zugriffsrechte zu konfigurieren, die einer Gruppe gewährt werden, fügen Sie die group Anweisung auf Hierarchieebene [edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c) security-name security-name] ein. Weitere Informationen zu dieser Anweisung finden Sie unter group (Defining Access Privileges for an SNMPv3 Group).
Beispiel: Konfiguration der Sicherheitsgruppe
Zuweisen von Sicherheitsnamen zu Gruppen:
vacm {
security-to-group {
security-model usm {
security-name user1 {
group group1;
}
security-name user2 {
group group2;
}
security-name user3 {
group group3;
}
}
}
}