Privilèges d’accès d’un groupe SNMP
SNMP version 3 (SNMPv3) utilise le modèle de contrôle d’accès basé sur la vue (VACM), qui vous permet de configurer les privilèges d’accès accordés à un groupe. Vous pouvez contrôler l’accès en filtrant les objets MIB disponibles pour une opération spécifique via une vue prédéfinie. Vous attribuez des vues pour déterminer les objets visibles pour les opérations de lecture, d’écriture et de notification pour un groupe particulier, à l’aide d’un contexte particulier, d’un modèle de sécurité particulier (v1, v2c ou usm) et d’un niveau de sécurité particulier (authentifié, de confidentialité ou aucun). Pour plus d’informations sur la configuration des vues, reportez-vous à la section Configurer les vues MIB.
Vous définissez l’accès de l’utilisateur aux informations de gestion au niveau de la [edit snmp v3 vacm] hiérarchie. Tout le contrôle d’accès au sein de VACM fonctionne sur des groupes, qui sont des collections d’utilisateurs telles que définies par USM, ou des chaînes communautaires telles que définies dans les modèles de sécurité SNMPv1 et SNMPv2c.
Le terme security-name fait référence à ces utilisateurs finaux génériques. Le groupe auquel appartient un nom de sécurité spécifique est configuré au niveau de la [edit snmp v3 vacm security-to-group] hiérarchie. Ce nom de sécurité peut être associé à un groupe défini au niveau de la [edit snmp v3 vacm security-to-group] hiérarchie. Un groupe identifie un ensemble d’utilisateurs SNMP qui partagent la même stratégie d’accès. Vous définissez ensuite les privilèges d’accès associés à un groupe au niveau de la [edit snmp v3 vacm access] hiérarchie. Vous pouvez définir l’accès à l’aide de vues. Pour chaque groupe, vous pouvez appliquer différentes vues en fonction de l’opération SNMP ; Par exemple, read (get, getNext, ou getBulk) write (set), les notifications, le niveau de sécurité utilisé (authentification, confidentialité ou aucun) et le modèle de sécurité (v1, v2c ou usm) utilisé dans une requête SNMP.
Vous configurez les membres d’un groupe à l’aide de l’instruction security-name . Pour les paquets v3 utilisant USM, le nom de sécurité est le même que le nom d’utilisateur. Pour les paquets SNMPv1 ou SNMPv2c, le nom de sécurité est déterminé en fonction de la chaîne de communauté. Les noms de sécurité sont spécifiques à un modèle de sécurité. Si vous configurez également des stratégies d’accès VACM pour les paquets SNMPv1 ou SNMPv2c, vous devez attribuer des noms de sécurité à des groupes pour chaque modèle de sécurité (SNMPv1 ou SNMPv2c) au niveau de la [edit snmp v3 vacm security-to-group] hiérarchie. Vous devez également associer un nom de sécurité à une communauté SNMP au niveau de la [edit snmp v3 snmp-community community-index] hiérarchie.
Pour configurer les privilèges d’accès d’un groupe SNMP, incluez des instructions au niveau de la [edit snmp v3 vacm] hiérarchie. Pour plus d’informations sur cette instruction, reportez-vous à la section vacm.
Configurer les privilèges d’accès accordés à un groupe
Cette rubrique comprend les sections suivantes :
- Configurer le groupe
- Configurer le modèle de sécurité
- Configurer le niveau de sécurité
- Associer des vues MIB à un groupe d’utilisateurs SNMP
Configurer le groupe
Pour configurer les privilèges d’accès accordés à un groupe, incluez l’instruction group au niveau de la [edit snmp v3 vacm access] hiérarchie :
[edit snmp v3 vacm access] group group-name;
group-name est un ensemble d’utilisateurs SNMP appartenant à une liste SNMP commune qui définit une stratégie d’accès. Les utilisateurs appartenant à un groupe SNMP particulier héritent de tous les privilèges d’accès accordés à ce groupe.
Configurer le modèle de sécurité
Pour configurer le modèle de sécurité, incluez l’instruction au security-model niveau de la [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix)] hiérarchie :
[edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix)] security-model (any | usm | v1 | v2c);
any—N’importe quel modèle de sécuritéusm—Modèle de sécurité SNMPv3v1—Modèle de sécurité SNMPV1v2c—Modèle de sécurité SNMPv2c
Configurer le niveau de sécurité
Pour configurer les privilèges d’accès accordés aux paquets avec un niveau de sécurité particulier, incluez l’instruction security-level au niveau de la [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c)] hiérarchie :
[edit snmp v3 vacm access group group-name default-context-prefix security-model (any | usm | v1 | v2c)] security-level (authentication | none | privacy);
-
none: ne fournit ni authentification ni chiffrement. -
authentication: fournit une authentification mais pas de chiffrement. -
privacy: fournit l’authentification et le chiffrement.
Vous pouvez accorder des privilèges d’accès à tous les paquets dont le niveau de sécurité est égal ou supérieur à celui configuré. Si vous configurez le modèle de sécurité SNMPv1 ou SNMPv2c, utilisez-le none comme niveau de sécurité. Si vous configurez le modèle de sécurité SNMPv3 (USM), utilisez le niveau de sécurité , noneou privacy .authentication
Associer des vues MIB à un groupe d’utilisateurs SNMP
Les vues MIB définissent les privilèges d’accès des membres d’un groupe. Vous pouvez appliquer des vues distinctes pour chaque opération SNMP (lecture, écriture et notification) au sein de chaque modèle de sécurité (usm, v1 et v2c) et de chaque niveau de sécurité (authentification, aucun et confidentialité) pris en charge par SNMP.
Pour associer des vues MIB à un groupe d’utilisateurs SNMP, incluez les instructions suivantes au niveau de la [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] hiérarchie. Pour plus d’informations sur cette instruction, reportez-vous à la section access (SNMP).
Vous devez associer au moins une vue (notifier, lire ou écrire) au niveau de la [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] hiérarchie.
Vous devez configurer la vue MIB au niveau de la [edit snmp view view-name] hiérarchie. Pour plus d’informations sur la configuration des vues MIB, reportez-vous à la section Configurer les vues MIB.
Cette section décrit les rubriques suivantes liées à cette configuration :
Configurer la vue Notifier
Pour associer l’accès notify à un groupe d’utilisateurs SNMP, incluez l’instruction notify-view au niveau de la [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] hiérarchie. Pour plus d’informations sur cette instruction, reportez-vous à la section notify-view.
view-name spécifie l’accès notify, qui est une liste de notifications pouvant être envoyées à chaque utilisateur d’un groupe SNMP. Le nom d’une vue ne peut pas dépasser 32 caractères.
Configurer le mode Lecture
Pour associer une vue en lecture à un groupe SNMP, incluez l’instruction read-view au niveau de la [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] hiérarchie. Pour plus d’informations sur cette instruction, reportez-vous à la section read-view.
view-name spécifie l’accès en lecture pour un groupe d’utilisateurs SNMP. Le nom d’une vue ne peut pas dépasser 32 caractères.
Configurer la vue en écriture
Pour associer une vue en écriture à un groupe d’utilisateurs SNMP, incluez l’instruction write-view au niveau de la [edit snmp v3 vacm access group group-name (default-context-prefix | context-prefix context-prefix) security-model (any | usm | v1 | v2c) security-level (authentication | none | privacy)] hiérarchie. Pour plus d’informations sur cette instruction, reportez-vous à la section write-view.
view-name spécifie l’accès en écriture pour un groupe d’utilisateurs SNMP. Le nom d’une vue ne peut pas dépasser 32 caractères.
Exemple : Configurer les privilèges d’accès accordés à un groupe
Définissez les privilèges d’accès :
[edit snmp v3 vacm]
access {
group group1 {
default-context-prefix {
security-model usm { #Define an SNMPv3 security model
security-level privacy {
notify-view nv1;
read-view rv1;
write-view wv1;
}
}
}
context-prefix lr1/ri1{ # routing instance ri1 in logical system lr1
security-model usm {
security-level privacy {
notify-view nv1;
read-view rv1;
write-view wv1;
}
}
}
}
group group2 {
default-context-prefix {
security-model usm { #Define an SNMPv3 security model
security-level authentication {
read-view rv2;
write-view wv2;
}
}
}
}
group group3 {
default-context-prefix {
security-model v1 { #Define an SNMPv3 security model
security-level none {
read-view rv3;
write-view wv3;
}
}
}
}
}
Affecter un modèle de sécurité et un nom de sécurité à un groupe
Pour attribuer des noms de sécurité à des groupes, incluez les instructions suivantes au niveau de la [edit snmp v3 vacm security-to-group] hiérarchie. Pour plus d’informations sur cette instruction, reportez-vous à la section security-model (Group).
Cette rubrique comprend les sections suivantes :
Configurer le modèle de sécurité
Pour configurer le modèle de sécurité, incluez l’instruction au security-model niveau de la [edit snmp v3 vacm security-to-group] hiérarchie :
[edit snmp v3 vacm security-to-group] security-model (usm | v1 | v2c);
-
usm—Modèle de sécurité SNMPv3 -
v1—Modèle de sécurité SNMPv1 -
v2c—Modèle de sécurité SNMPv2
Attribuer des noms de sécurité à des groupes
Pour associer un nom de sécurité à un utilisateur SNMPv3 ou à une chaîne de communauté v1 ou v2, incluez l’instruction security-name au niveau de la [edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c)] hiérarchie :
[edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c)] security-name security-name;
Pour SNMPv3, il security-name s’agit du nom d’utilisateur configuré au niveau de la [edit snmp v3 usm local-engine user username] hiérarchie. Pour SNMPv1 et SNMPv2c, le nom de sécurité est la chaîne de communauté configurée au niveau de la [edit snmp v3 snmp-community community-index] hiérarchie. Pour plus d’informations sur la configuration des noms d’utilisateur, consultez Créer des utilisateurs SNMPv3. Pour plus d’informations sur la configuration d’une chaîne de communauté, consultez Configurer la communauté SNMPv3.
Le nom de sécurité USM est distinct du nom de sécurité SNMPv1 et SNMPv2c. Si vous prenez en charge SNMPv1 et SNMPv2c en plus de SNMPv3, vous devez configurer des noms de sécurité distincts dans la configuration de la sécurité au niveau de la [edit snmp v3 vacm access] hiérarchie.
Configurer le groupe
Une fois que vous avez créé des utilisateurs SNMPv3 ou des noms de sécurité v1 ou v2, vous les associez à un groupe. Un groupe est un ensemble de noms de sécurité appartenant à un modèle de sécurité particulier. Un groupe définit les droits d’accès de tous les utilisateurs qui en font partie. Les droits d’accès définissent ce que les objets SNMP peuvent lire, écrire ou créer. Un groupe définit également les notifications qu’un utilisateur peut recevoir.
Si vous disposez déjà d’un groupe configuré avec toutes les autorisations d’affichage et d’accès que vous souhaitez accorder à un utilisateur, vous pouvez ajouter l’utilisateur à ce groupe. Si vous souhaitez accorder à un utilisateur des autorisations d’affichage et d’accès qu’aucun autre groupe n’a, ou si vous n’avez configuré aucun groupe, créez un groupe et ajoutez-y l’utilisateur.
Pour configurer les privilèges d’accès accordés à un groupe, incluez l’instruction group au niveau de la [edit snmp v3 vacm security-to-group security-model (usm | v1 | v2c) security-name security-name] hiérarchie. Pour plus d’informations sur cette instruction, reportez-vous à la section group (Defining Access Privileges for an SNMPv3 Group).
Exemple : Configuration du groupe de sécurité
Attribuez des noms de sécurité à des groupes :
vacm {
security-to-group {
security-model usm {
security-name user1 {
group group1;
}
security-name user2 {
group group2;
}
security-name user3 {
group group3;
}
}
}
}