Sur cette page
Vues MIB
SNMPv3 définit le concept de vues MIB dans la RFC 3415, Modèle de contrôle d’accès basé sur les vues (VACM) pour le protocole SNMP (Simple Network Management Protocol). Les vues MIB permettent à l’agent de mieux contrôler qui peut accéder à des branches et à des objets spécifiques dans son arborescence MIB. Une vue se compose d’un nom et d’un ensemble d’identificateurs d’objet SNMP, qui sont explicitement inclus ou exclus. Une fois définie, une vue est ensuite attribuée à un groupe SNMPv3 ou à une communauté SNMPv1/v2c (ou à plusieurs communautés), masquant automatiquement les parties de l’arborescence MIB de l’agent auxquelles les membres du groupe ou de la communauté peuvent (ou ne peuvent pas) accéder.
Configurer les vues MIB
Par défaut, une communauté SNMP accorde l’accès en lecture et refuse l’accès en écriture à tous les objets MIB pris en charge (même les communautés configurées en tant que authorization read-write). Pour restreindre ou accorder l’accès en lecture ou en écriture à un ensemble d’objets MIB, vous devez configurer une vue MIB et l’associer à une communauté.
Pour configurer les vues MIB, reportez-vous à la section view (Configuring a MIB View).
Pour supprimer complètement un OID, utilisez la delete view all oid oid-number commande mais omettez le include paramètre.
[edit snmp] user@host# set view view-name oid object-identifier (include | exclude)
L’exemple suivant crée une vue MIB appelée ping-mib-view. L’instruction oid n’exige pas de point au début de l’identificateur d’objet. L’instruction snmp view inclut la branche sous l’identificateur d’objet .1.3.6.1.2.1.80. Cela inclut l’ensemble de la sous-arborescence DISMAN-PINGMIB (telle que définie dans la RFC 2925, Définitions des objets gérés pour les opérations Ping, Traceroute et Lookup distantes), qui autorise effectivement l’accès à n’importe quel objet sous cette branche.
[edit snmp] user@host# set view ping-mib-view oid 1.3.6.1.2.1.80 include
L’exemple suivant ajoute une deuxième branche dans la même vue MIB.
[edit snmp] user@host# set view ping-mib-view oid jnxPingMIB include
Attribuez une vue MIB à une communauté que vous souhaitez contrôler.
Pour associer des vues MIB à une communauté, reportez-vous à la section view (SNMP Community).
Pour plus d’informations sur la MIB Ping, consultez RFC 2925 et MIB PING.
Voir également
Configurer la MIB du proxy ping
Limitez l’accès de la ping-mib communauté en lecture et en écriture à la MIB Ping uniquement jnxpingMIB . L’accès en lecture ou en écriture à toute autre MIB utilisant cette communauté n’est pas autorisé.
[edit snmp]
view ping-mib-view {
oid 1.3.6.1.2.1.80 include; #pingMIB
oid jnxPingMIB include; #jnxPingMIB
}
community ping-mib {
authorization read-write;
view ping-mib-view;
}
La configuration suivante empêche la communauté d’accéder à la no-ping-mib MIB et jnxPingMIB aux objets Ping. Toutefois, cette configuration n’empêche pas la no-ping-mib communauté d’accéder à tout autre objet MIB pris en charge sur l’appareil.
[edit snmp]
view no-ping-mib-view {
oid 1.3.6.1.2.1.80 exclude; # deny access to pingMIB objects
oid jnxPingMIB exclude; # deny access to jnxPingMIB objects
}
community no-ping-mib {
authorization read-write;
view ping-mib-view;
}