ADC

Configuration de NetScaler pour les requêtes SNMPv3

Simple Network Management Protocol Version 3 (SNMPv3) est basé sur la structure et l’architecture de base de SNMPv1 et SNMPv2. Cependant, SNMPv3 améliore l’architecture de base pour intégrer des fonctionnalités d’administration et de sécurité, telles que l’authentification, le contrôle d’accès, la vérification de l’intégrité des données, la vérification de l’origine des données, la vérification de l’actualité des messages et la confidentialité des données.

Pour mettre en œuvre la sécurité et le contrôle d’accès au niveau des messages, SNMPv3 introduit le modèle de sécurité basé sur l’utilisateur (USM) et le modèle de contrôle d’accès basé sur la vue (VACM).

  • Modèle de sécurité basé sur l’utilisateur. Le modèle de sécurité basé sur l’utilisateur (USM) fournit une sécurité au niveau des messages. Il vous permet de configurer les utilisateurs et les paramètres de sécurité pour l’agent SNMP et le gestionnaire SNMP. USM propose les fonctionnalités suivantes :
    • Intégrité des données : pour protéger les messages contre toute modification lors de leur transmission sur le réseau.
    • Vérification de l’origine des données : pour authentifier l’utilisateur qui a envoyé la demande de message.
    • Actualité des messages : pour éviter les retards ou les rediffusions des messages.
    • Confidentialité des données : pour empêcher que le contenu des messages ne soit divulgué à des entités ou à des personnes non autorisées.
  • Modèle de contrôle d’accès basé sur la vue. Le modèle de contrôle d’accès basé sur les vues (VACM) vous permet de configurer les droits d’accès à une sous-arborescence spécifique de la MIB en fonction de divers paramètres, tels que le niveau de sécurité, le modèle de sécurité, le nom d’utilisateur et le type de vue. Il vous permet de configurer les agents pour fournir différents niveaux d’accès à la MIB à différents gestionnaires.

NetScaler prend en charge les entités suivantes qui vous permettent d’implémenter les fonctionnalités de sécurité de SNMPv3 :

  • Moteurs SNMP
  • Vues SNMP
  • Groupes SNMP
  • Utilisateurs SNMP

Ces entités fonctionnent ensemble pour implémenter les fonctionnalités de sécurité SNMPv3. Les vues sont créées pour permettre l’accès aux sous-arborescences de la MIB. Des groupes sont ensuite créés avec le niveau de sécurité requis et un accès aux vues définies. Enfin, les utilisateurs sont créés et affectés aux groupes.

Remarque :

La configuration de la vue, du groupe et de l’utilisateur est synchronisée et propagée vers le nœud secondaire dans une paire haute disponibilité (HA). Toutefois, l’ID du moteur n’est ni propagé ni synchronisé car il est unique à chaque appliance NetScaler.

Pour implémenter l’authentification des messages et le contrôle d’accès, vous devez procéder comme suit :

Configuration de l’ID du moteur

Les moteurs SNMP sont des fournisseurs de services qui résident dans l’agent SNMP. Ils fournissent des services tels que l’envoi, la réception et l’authentification de messages. Les moteurs SNMP sont identifiés de manière unique à l’aide des identifiants du moteur.

L’appliance NetScaler possède un EngineID unique basé sur l’adresse MAC de l’une de ses interfaces. Il n’est pas nécessaire de remplacer le EngineID. Toutefois, si vous souhaitez modifier l’ID du moteur, vous pouvez le réinitialiser.

Pour définir l’ID du moteur à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour définir les paramètres et vérifier la configuration :

  • set snmp engineId <engineID>
  • show snmp engineId

Exemple

> set snmp engineId 8000173f0300c095f80c68

Pour définir l’ID du moteur à l’aide de l’interface graphique

Accédez à Système > SNMP > Utilisateurs, cliquez sur Configurer l’ID du moteur et saisissez un ID du moteur.

Configuration d’une vue

Les vues SNMP limitent l’accès des utilisateurs à des parties spécifiques de la MIB. Les vues SNMP sont utilisées pour implémenter le contrôle d’accès.

Pour ajouter une vue SNMP à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour définir les paramètres et vérifier la configuration :

  • add snmp view <name> <subtree> -type ( included | excluded )
  • show snmp view <name>
  • rm snmp view <name> <subtree>

Où,

Nom. Nom de la vue SNMPv3. Il peut être composé de 1 à 31 caractères, dont des lettres majuscules et minuscules, des chiffres, ainsi que le tiret (-), le point (.), la livre (#), l’espace (), le signe arobase (@), l’égal (=), les deux points (:) et le trait de soulignement (_). Vous devez choisir un nom qui permet d’identifier la vue SNMPv3.

Sous-arbre. Branche particulière (sous-arbre) de l’arborescence MIB que vous souhaitez associer à cette vue SNMPv3. Vous devez spécifier la sous-arborescence en tant qu’OID SNMP. Il s’agit d’un argument de longueur maximale : 99.

type. Incluez ou excluez la sous-arborescence, spécifiée par le paramètre de sous-arborescence, dans ou depuis cette vue. Ce paramètre peut être utile lorsque vous avez inclus un sous-arbre, tel que A, dans une vue SNMPv3 et que vous souhaitez exclure un sous-arbre spécifique de A, tel que B, de la vue SNMPv3. Il s’agit d’un argument obligatoire. Valeurs possibles : incluses, exclues.

Exemples

ajouter une vue snmp SNMPv3Test 1.1.1.1 -type inclus sh snmp view SNMPv3Test rm vue snmp snmpv3Test 1.1.1.1

Pour configurer une vue SNMP à l’aide de l’interface graphique

Accédez à Système > SNMP > Vues, puis créez la vue SNMP.

Configuration d’un groupe

Les groupes SNMP sont des agrégations logiques d’utilisateurs SNMP. Ils sont utilisés pour mettre en œuvre le contrôle d’accès et définir les niveaux de sécurité. Vous pouvez configurer un groupe SNMP pour définir les droits d’accès des utilisateurs affectés à ce groupe, limitant ainsi les utilisateurs à des vues spécifiques.

Vous devez configurer un groupe SNMP pour définir les droits d’accès des utilisateurs affectés à ce groupe.

Pour ajouter un groupe SNMP à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour définir les paramètres et vérifier la configuration :

  • add snmp group <name> <securityLevel> -readViewName <string>
  • show snmp group <name> <securityLevel>

Où,

Nom. Nom du groupe SNMPv3. Peut être composé de 1 à 31 caractères, dont des lettres majuscules et minuscules, des chiffres, ainsi que le tiret (-), le point (.), l’espace (), le signe arobase (@), l’égal (=), les deux points (:) et le trait de soulignement (_). Vous devez choisir un nom qui permet d’identifier le groupe SNMPv3.

Niveau de sécurité. Niveau de sécurité requis pour la communication entre l’appliance NetScaler et les utilisateurs SNMPv3 qui appartiennent au groupe. Spécifiez l’une des options suivantes :

Pas d’AuthNoPriv. N’exigent ni authentification ni chiffrement.

AuthNoPriv. Nécessite une authentification mais pas de chiffrement.

AuthPriv. Exigez l’authentification et le chiffrement. Remarque : Si vous spécifiez l’authentification, vous devez spécifier un algorithme de chiffrement lorsque vous attribuez un utilisateur SNMPv3 au groupe. Si vous spécifiez également le chiffrement, vous devez attribuer à la fois une authentification et un algorithme de chiffrement à chaque membre du groupe. Il s’agit d’un argument obligatoire. Valeurs possibles : NoAuthNoPriv, AuthNoPriv, AuthPriv.

Lire le nom de l’affichage. Nom de la vue SNMPv3 configurée que vous souhaitez lier à ce groupe SNMPv3. Un utilisateur SNMPv3 lié à ce groupe peut accéder aux sous-arbres liés à cette vue SNMPv3 en tant que type INCLUDED, mais ne peut pas accéder à ceux qui sont de type EXCLUDED. Si l’appliance NetScaler possède plusieurs entrées de vue SNMPv3 portant le même nom, toutes ces entrées sont associées au groupe SNMPv3. Il s’agit d’un argument obligatoire. Longueur maximale : 31

Pour configurer un groupe SNMP à l’aide de l’interface graphique

Accédez à Système > SNMP > Groupes, puis créez le groupe SNMP.

Configuration d’un utilisateur

Les utilisateurs SNMP sont les gestionnaires SNMP auxquels les agents autorisent l’accès aux MIB. Chaque utilisateur SNMP est affecté à un groupe SNMP.

Vous devez configurer les utilisateurs au niveau de l’agent et affecter chaque utilisateur à un groupe.

Pour configurer un utilisateur à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour définir les paramètres et vérifier la configuration :

  • add snmp user <name> -group <string> [-authType ( MD5 | SHA ) {-authPasswd } [-privType ( DES | AES ) {-privPasswd }]]
  • show snmp user <name>

Où,

AuthType est l’option d’authentification disponible lors de la configuration d’un utilisateur. Il existe deux types d’authentification tels que MD5 et SHA.

PrivType est l’option de cryptage disponible lors de la configuration d’un utilisateur. Il existe deux types de chiffrement, tels que le DES avec une taille de clé 128 bits et l’AES avec une taille de clé 128 bits.

Exemple

> add snmp user edocs_user -group edocs_group
<!--NeedCopy-->

Pour configurer un utilisateur SNMP à l’aide de l’interface graphique

Accédez à Système > SNMP > Utilisateurs et créez l’utilisateur SNMP.

Configuration de NetScaler pour les requêtes SNMPv3