Citrix ADC

Configuration de Citrix ADC pour les requêtes SNMPv3

Simple Network Management Protocol Version 3 (SNMPv3) est basé sur la structure et l’architecture de base de SNMPv1 et SNMPv2. Toutefois, SNMPv3 améliore l’architecture de base pour intégrer des fonctionnalités d’administration et de sécurité, telles que l’authentification, le contrôle d’accès, la vérification de l’intégrité des données, la vérification de l’origine des données, la vérification de l’actualité des messages et la confidentialité des données.

Pour implémenter la sécurité au niveau des messages et le contrôle d’accès, SNMPv3 introduit le modèle de sécurité basé sur l’utilisateur (USM) et le modèle de contrôle d’accès basé sur la vue (VACM).

  • Modèle de sécurité basé sur l’utilisateur. Le modèle de sécurité basé sur l’utilisateur (USM) fournit une sécurité au niveau du message. Il vous permet de configurer les utilisateurs et les paramètres de sécurité pour l’agent SNMP et le gestionnaire SNMP. USM offre les fonctionnalités suivantes :
    • Intégrité des données : pour protéger les messages contre toute modification lors de la transmission via le réseau.
    • Vérification de l’origine des données : pour authentifier l’utilisateur qui a envoyé la demande de message.
    • Rapidité des messages : Pour se protéger contre les retards ou les rediffusions de messages.
    • Confidentialité des données : Protéger le contenu des messages contre la divulgation à des entités ou individus non autorisés.
  • Modèle de contrôle d’accès basé sur la vue. Le modèle de contrôle d’accès basé sur la vue (VACM) vous permet de configurer les droits d’accès à une sous-arborescence spécifique de la MIB en fonction de différents paramètres, tels que le niveau de sécurité, le modèle de sécurité, le nom d’utilisateur et le type de vue. Il vous permet de configurer les agents pour fournir différents niveaux d’accès à la MIB à différents gestionnaires.

Citrix ADC prend en charge les entités suivantes qui vous permettent d’implémenter les fonctionnalités de sécurité de SNMPv3 :

  • Moteurs SNMP
  • Vues SNMP
  • Groupes SNMP
  • Utilisateurs SNMP

Ces entités fonctionnent ensemble pour implémenter les fonctionnalités de sécurité SNMPv3. Les vues sont créées pour permettre l’accès aux sous-arborescences de la MIB. Ensuite, des groupes sont créés avec le niveau de sécurité requis et l’accès aux vues définies. Enfin, les utilisateurs sont créés et affectés aux groupes.

Remarque :

La configuration de la vue, du groupe et de l’utilisateur sont synchronisés et propagés vers le nœud secondaire dans une paire haute disponibilité (HA). Toutefois, l’ID du moteur n’est ni propagé ni synchronisé car il est unique à chaque appliance Citrix ADC.

Pour implémenter l’authentification des messages et le contrôle d’accès, vous devez effectuer les opérations suivantes :

Définition de l’ID du moteur

Les moteurs SNMP sont des fournisseurs de services qui résident dans l’agent SNMP. Ils fournissent des services tels que l’envoi, la réception et l’authentification des messages. Les moteurs SNMP sont identifiés de manière unique à l’aide d’ID de moteur.

L’appliance Citrix ADC possède un EngineID unique basé sur l’adresse MAC de l’une de ses interfaces. Il n’est pas nécessaire de remplacer le EngineID. Toutefois, si vous souhaitez modifier l’ID du moteur, vous pouvez le réinitialiser.

Pour définir l’ID du moteur à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour définir les paramètres et vérifier la configuration :

  • set snmp engineId <engineID>
  • show snmp engineId

Exemple

> set snmp engineId 8000173f0300c095f80c68

Pour définir l’ID du moteur à l’aide de l’interface graphique

Accédez à Système > SNMP > Utilisateurs, cliquez sur Configurer l’ID du moteur et tapez un ID du moteur.

Configurer une vue

Les vues SNMP limitent l’accès des utilisateurs à des parties spécifiques de la MIB. Les vues SNMP sont utilisées pour implémenter le contrôle d’accès.

Pour ajouter une vue SNMP à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour définir les paramètres et vérifier la configuration :

  • add snmp view <name> <subtree> -type ( included | excluded )
  • show snmp view <name>
  • rm snmp view <name> <subtree>

Où,

Nom. Nom de la vue SNMPv3. Il peut se composer de 1 à 31 caractères comprenant des majuscules et minuscules, des chiffres et le tiret (-), point (.) livre (#), espace (), signe (@), égal (=), deux-points ( :) et trait de soulignement (_). Vous devez choisir un nom qui aide à identifier la vue SNMPv3.

Sous-arbre. Branche (sous-arborescence) particulière de l’arborescence MIB que vous souhaitez associer à cette vue SNMPv3 . Vous devez spécifier la sous-arborescence en tant qu’OID SNMP. Ceci est un argument de longueur maximale : 99.

type. Incluez ou excluez la sous-arborescence, spécifiée par le paramètre sous-arborescence, dans ou à partir de cette vue. Ce paramètre peut être utile lorsque vous avez inclus une sous-arborescence, telle que A, dans une vue SNMPv3 et que vous souhaitez exclure une sous-arborescence spécifique de A, telle que B, de la vue SNMPv3. C’est un argument obligatoire. Valeurs possibles : included, excluded.

Exemples

add snmp view SNMPv3test 1.1.1.1 -type included sh snmp view SNMPv3test rm snmp view SNMPv3test 1.1.1.1

Pour configurer une vue SNMP à l’aide de l’interface graphique

Accédez à Système > SNMP > Vues et créez la vue SNMP.

Configurer un groupe

Les groupes SNMP sont des agrégations logiques d’utilisateurs SNMP. Ils sont utilisés pour mettre en œuvre le contrôle d’accès et définir les niveaux de sécurité. Vous pouvez configurer un groupe SNMP pour définir des droits d’accès pour les utilisateurs affectés à ce groupe, limitant ainsi les utilisateurs à des vues spécifiques.

Vous devez configurer un groupe SNMP pour définir les droits d’accès pour les utilisateurs affectés à ce groupe.

Pour ajouter un groupe SNMP à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour définir les paramètres et vérifier la configuration :

  • add snmp group <name> <securityLevel> -readViewName <string>
  • show snmp group <name> <securityLevel>

Où,

Nom. Nom du groupe SNMPv3. Peut être composé de 1 à 31 caractères comprenant des majuscules et minuscules, des chiffres et le tiret (-), point (.) livre (#), espace (), signe (@), égal (=), deux-points ( :) et trait de soulignement (_). Vous devez choisir un nom qui aide à identifier le groupe SNMPv3.

Niveau de sécurité. Niveau de sécurité requis pour la communication entre l’appliance Citrix ADC et les utilisateurs SNMPv3 appartenant au groupe. Spécifiez l’une des options suivantes :

noAuthNoPriv. Ne nécessite ni l’authentification ni le chiffrement.

authNoPriv. Exiger une authentification mais pas de chiffrement.

authPriv. Exiger l’authentification et le chiffrement. Remarque : Si vous spécifiez l’authentification, vous devez spécifier un algorithme de chiffrement lorsque vous affectez un utilisateur SNMPv3 au groupe. Si vous spécifiez également le chiffrement, vous devez attribuer à la fois un algorithme d’authentification et un algorithme de chiffrement pour chaque membre du groupe. C’est un argument obligatoire. Valeurs possibles : NoAuthNoPriv, AuthNoPriv, AuthPriv.

readViewName. Nom de la vue SNMPv3 configurée que vous souhaitez lier à ce groupe SNMPv3. Un utilisateur SNMPv3 lié à ce groupe peut accéder aux sous-arborescences liées à cette vue SNMPv3 en tant que type INCLUDED, mais ne peut pas accéder à celles de type EXCLUDED. Si l’appliance Citrix ADC comporte plusieurs entrées de vue SNMPv3 portant le même nom, toutes ces entrées sont associées au groupe SNMPv3. C’est un argument obligatoire. Longueur maximale : 31

Pour configurer un groupe SNMP à l’aide de l’interface graphique

Accédez à Système > SNMP > Groupes et créez le groupe SNMP.

Configuration d’un utilisateur

Les utilisateurs SNMP sont les gestionnaires SNMP que les agents autorisent à accéder aux MIB. Chaque utilisateur SNMP est affecté à un groupe SNMP.

Vous devez configurer les utilisateurs au niveau de l’agent et affecter chaque utilisateur à un groupe.

Pour configurer un utilisateur à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour définir les paramètres et vérifier la configuration :

  • add snmp user <name> -group <string> [-authType ( MD5 | SHA ) {-authPasswd } [-privType ( DES | AES ) {-privPasswd }]]
  • show snmp user <name>

Où,

AuthType est l’option d’authentification disponible lors de la configuration d’un utilisateur. Il existe deux types d’authentification tels que MD5 et SHA.

PrivType est l’option de chiffrement disponible lors de la configuration d’un utilisateur. Il existe deux types de chiffrement tels que DES de taille de clé 128 bits et AES de taille de clé 128 bits.

Exemple

> add snmp user edocs_user -group edocs_group

Pour configurer un utilisateur SNMP à l’aide de l’interface graphique

Accédez à Système > SNMP > Utilisateurs et créez l’utilisateur SNMP.

Configuration de Citrix ADC pour les requêtes SNMPv3