SNMP運用管理/アクセス制御/バージョンの共存と移行/拡張エージェント
「実践SNMP教科書」の第6章の復刻版です。
この章では、SNMP自身をリモート管理する機能、MIBへのアクセスを制御する機能、各SNMPバージョンの共存、SNMPv3への移行、SNMPエージェントの拡張のためのプロトコルについて説明します。
SNMP運用管理
SNMPは、自分自身でリモート管理できるできるように設計されています。基本的には、SNMP運用管理用の以下のMIBが定義されています。これらのMIBの管理情報を参照、追加、変更することによりSNMPの設定を管理できるのです。
SNMPの機能でリモート管理できる仕様ですが実際には、ほとんど使われていないと思います。私自信もありません。
SNMPに関する設定はSSHでログインしてコマンドからかWeb画面から行うと思います。
SNMP-FRAMEWORK-MIB(RFC3411)
SNMPv3管理フレームワークのためのMIB定義です。主に、管理フレームワークで使用する次の表にデータタイプ定義とSNMPエンジン管理のためのMIBオブジェクトを示します。
SNMP-MPD-MIB DEFINITIONS(RFC3412)
SNMPメッセージ処理システムの管理のためSNMPメッセージの通信量に関する統計情報が定義されています。
SNMP-TARGET-MIB
SNMPメッセージの送信相手を管理するためのMIBで、宛先管理テーブルにより宛先やタイムアウト、リトライなどのパラメータをリモート設定することができます。宛先管理テーブルの情報は、SNMP-NOTIFICATION-MIBやSNMP-PROXY-MIBから参照されます。
SNMP-NOTIFICATION-MIB(RFC3413)
通知(TRAP,INFORM)の管理テーブルと通知実施の制限を行う通知フィルターテーブルがあります。
SNMP-PROXY-MIB(RFC3413)
プロキシー機能を管理するためのMIBが定義されています。
SNMP-USER-BASED-SM-MIB(RFC3414)
ユーザベースセキュリティモデルを管理するためのMIB定義です。
SNMP-VIEW-BASED-ACM-MIB(RFC3415)
この後、説明するビューベースアクセス制御のためのMIB定義です。
SNMPv2-TM(RFC3417)、TRANSPORT-ADDRESS-MIB(RFC3419)
SNMPで使用するトランスポート層に関して、識別子とアドレスの表現のためのデータタイプを定義しています。
SNMPv2-MIB(RFC3418)
RFC1213で定義されたmib-2のsystemグループと、snmpグループを拡張定義したものです。標準TRAPのうちsystemグループとsnmpグループに関係したTRAPも定義されています。
SNMP-COMMUNITY-MIB(RFC3564)
SNMPv1、SNMPv2CなどのCommunityベースの認証を行うSNMPメッセージ処理サブシステムのために、Community管理テーブルを定義しています。Community管理テーブルによって、Communityのリモート管理が可能になります。また、宛先管理テーブルに関する拡張情報も定義しています。
アクセス制御機能
前にCommunityベースのSNMPv1、SNMPv2Cとユーザ名ベースのユーザベースセキュリティモデルについて説明してきました。Communityとユーザ名は、SNMPのアーキテクチャ上、セキュリティ名という共通名称で定義されています。セキュリティ名によってSNMPエンジンへのアクセスが制限できますが、更に、SNMPエンジンの先にあるMIB実装に関して、アクセス制御が可能になっています。これをアクセス制御機能といいます。本書執筆時点では、SNMPのアクセス制御機能としてビューベースアクセス制御モデル(VACM)がRFC3415で定義されています。この節では、ビューベースアクセス制御モデルについて説明します。
ビューベースアクセス制御モデルの概念
次の図にビューベースアクセス制御モデルの概念を示します。ビューベースアクセス制御モデルでは、図のように、セキュリティ名などの情報からビューと呼ばれる窓のようなもので、アクセスできる権限を制御するものです。
ここから先は
実践SNMP教科書 復刻版
20年近く前に書いた「実践SNMP教科書」を現在でも通用する部分だけ書き直して復刻するマガジンです。最近MIBの設計で困っている人に遭遇し…
開発のための諸経費(機材、Appleの開発者、サーバー運用)に利用します。 ソフトウェアのマニュアルをnoteの記事で提供しています。 サポートによりnoteの運営にも貢献できるのでよろしくお願います。