Citrix ADC

SNMPv3 クエリに対するCitrix ADC の構成

簡易ネットワーク管理プロトコルバージョン 3(SNMPv3)は、SNMPv1 および SNMPv2 の基本構造とアーキテクチャに基づいています。ただし、SNMPv3 では、認証、アクセスコントロール、データ整合性チェック、データ発信元検証、メッセージの適時性チェック、データの機密性などの管理機能とセキュリティ機能を組み込むための基本アーキテクチャが強化されています。

メッセージレベルのセキュリティとアクセスコントロールを実装するために、SNMPv3 では、ユーザベースセキュリティモデル(USM)とビューベースアクセスコントロールモデル(VACM)が導入されています。

  • ユーザーベースのセキュリティモデル。ユーザベースセキュリティモデル(USM)は、メッセージレベルのセキュリティを提供します。SNMP エージェントと SNMP マネージャのユーザおよびセキュリティパラメータを設定できます。USM には次の機能があります。
    • データの整合性: ネットワーク経由の送信中にメッセージが変更されないように保護します。
    • データ発信元検証: メッセージ要求を送信したユーザーを認証します。
    • メッセージの適時性: メッセージの遅延や再生から保護します。
    • データの機密性: メッセージの内容が、権限のない団体や個人に開示されないように保護します。
  • ビューベースのアクセス制御モデル。ビューベースアクセスコントロールモデル(VACM)を使用すると、セキュリティレベル、セキュリティモデル、ユーザ名、ビュータイプなど、さまざまなパラメータに基づいて MIB の特定のサブツリーへのアクセス権を設定できます。これにより、エージェントを設定して、異なるマネージャに MIB へのさまざまなレベルのアクセスを提供できます。

Citrix ADCでは、SNMPv3のセキュリティ機能を実装するための次のエンティティがサポートされています。

  • SNMP エンジン
  • SNMP ビュー
  • SNMP グループ
  • SNMP ユーザ

これらのエンティティは連携して機能し、SNMPv3 セキュリティ機能を実装します。ビューは、MIB のサブツリーへのアクセスを許可するために作成されます。次に、必要なセキュリティレベルと定義されたビューへのアクセス権を持つグループが作成されます。最後に、ユーザーが作成され、グループに割り当てられます。

ビュー、グループ、およびユーザーの構成が同期され、高可用性(HA)ペアのセカンダリ・ノードに伝播されます。ただし、エンジンIDは各Citrix ADCアプライアンスに固有であるため、伝播も同期もされません。

メッセージ認証とアクセス制御を実装するには、次の操作を行う必要があります。

エンジン ID の設定

SNMP エンジンは、SNMP エージェントに存在するサービスプロバイダーです。メッセージの送信、受信、認証などのサービスを提供します。SNMP エンジンは、エンジン ID を使用して一意に識別されます。

Citrix ADCアプライアンスは、そのインターフェイスのMACアドレスに基づいて一意のエンジンIDを持ちます。engineID を上書きする必要はありません。ただし、エンジン ID を変更する場合は、リセットできます。

コマンドラインインターフェイスを使用してエンジン ID を設定するには

コマンドプロンプトで次のコマンドを入力して、パラメーターを設定し、構成を確認します。

  • set snmp engineId <engineID>
  • show snmp engineId

> set snmp engineId 8000173f0300c095f80c68

GUI を使用してエンジン ID を設定するには

[システム] > [SNMP] > [ユーザー] に移動し、[エンジン ID の設定] をクリックしてエンジン ID を入力します。

ビューを設定する

SNMP ビューは、MIB の特定の部分へのユーザアクセスを制限します。SNMP ビューは、アクセスコントロールを実装するために使用されます。

コマンドラインインターフェイスを使用して SNMP ビューを追加するには

コマンドプロンプトで次のコマンドを入力して、パラメーターを設定し、構成を確認します。

  • add snmp view <name> <subtree> -type ( included | excluded )
  • show snmp view <name>
  • rm snmp view <name> <subtree>

各項目の意味は次のとおりです。

名前。SNMPv3 ビューの名前。大文字と小文字、数字、ハイフン(-)、ピリオド(#)、スペース()、アットマーク(@)、等号(=)、コロン(:)、およびアンダースコア(_)を含む1~31文字で構成できます。SNMPv3 ビューの識別に役立つ名前を選択する必要があります。

Subtree。この SNMPv3 ビューに関連付ける MIB ツリーの特定のブランチ(サブツリー)。サブツリーは SNMP OID として指定する必要があります。これは最大の長さの引数です:99.

type。サブツリーパラメータで指定されたサブツリーをこのビューに含めるか、またはこのビューから除外します。この設定は、A などのサブツリーを SNMPv3 ビューに追加し、A の特定のサブツリー(B など)を SNMPv3 ビューから除外する場合に便利です。これは必須の引数です。指定可能な値:含める、除外する。

add snmp view SNMPv3test 1.1.1.1 -type included sh snmp view SNMPv3test rm snmp view SNMPv3test 1.1.1.1

GUI を使用して SNMP ビューを構成するには

[システム] > [SNMP] > [ビュー] に移動し、SNMP ビューを作成します。

グループを構成する

SNMP グループは、SNMP ユーザの論理的な集約です。これらは、アクセス制御を実装し、セキュリティレベルを定義するために使用されます。SNMP グループを構成して、そのグループに割り当てられたユーザーのアクセス権を設定し、ユーザーを特定のビューに制限できます。

そのグループに割り当てられたユーザーのアクセス権を設定するには、SNMP グループを構成する必要があります。

コマンドラインインターフェイスを使用して SNMP グループを追加するには

コマンドプロンプトで次のコマンドを入力して、パラメーターを設定し、構成を確認します。

  • add snmp group <name> <securityLevel> -readViewName <string>
  • show snmp group <name> <securityLevel>

各項目の意味は次のとおりです。

名前。SNMPv3 グループの名前。大文字と小文字、数字、ハイフン (-)、ピリオド (.)、ポンド (#)、スペース ()、アットマーク (@)、等号 (=)、コロン (:)、アンダースコア (_) などの文字を使用できます。SNMPv3 グループの識別に役立つ名前を選択する必要があります。

securityLevel。Citrix ADCアプライアンスとグループに属するSNMPv3ユーザーの間の通信に必要なセキュリティレベル。次のいずれかのオプションを指定します。

noAuthNoPriv。認証も暗号化も必須ではありません。

authNoPriv。認証は必須ですが、暗号化は不要です。

authPriv。認証と暗号化が必要です。注:認証を指定する場合は、SNMPv3 ユーザーをグループに割り当てるときに暗号化アルゴリズムを指定する必要があります。暗号化も指定する場合は、各グループメンバーに認証アルゴリズムと暗号化アルゴリズムの両方を割り当てる必要があります。これは必須の引数です。指定可能な値: noAuthNoPriv, authNoPriv, authPriv.

readViewName。この SNMPv3 グループにバインドする、設定済みの SNMPv3 ビューの名前。このグループにバインドされた SNMPv3 ユーザは、タイプ INCLUDED としてこの SNMPv3 ビューにバインドされているサブツリーにアクセスできますが、タイプ EXCLUDED のサブツリーにはアクセスできません。Citrix ADCアプライアンスに同じ名前のSNMPv3ビュー・エントリーが複数ある場合、そのようなエントリはすべてSNMPv3グループに関連付けられます。これは必須の引数です。最大長さ:31

GUI を使用して SNMP グループを構成するには

[システム] > [SNMP] > [グループ] に移動し、SNMP グループを作成します。

ユーザーの設定

SNMP ユーザは、エージェントが MIB へのアクセスを許可する SNMP マネージャです。各 SNMP ユーザは、SNMP グループに割り当てられます。

エージェントでユーザを設定し、各ユーザをグループに割り当てる必要があります。

コマンドラインインターフェイスを使用してユーザーを構成するには

コマンドプロンプトで次のコマンドを入力して、パラメーターを設定し、構成を確認します。

  • add snmp user <name> -group <string> [-authType ( MD5 | SHA ) {-authPasswd } [-privType ( DES | AES ) {-privPasswd }]]
  • show snmp user <name>

各項目の意味は次のとおりです。

authType は、ユーザーの構成中に使用できる認証オプションです。MD5 と SHA などの 2 種類の認証タイプがあります。

privType は、ユーザの設定中に使用できる暗号化オプションです。暗号化には、鍵サイズ128ビットのDESと鍵サイズ128ビットのAESなどの2種類があります。

> add snmp user edocs_user -group edocs_group

GUI を使用して SNMP ユーザを構成するには

[システム] > [SNMP] > [ユーザ] に移動し、SNMP ユーザを作成します。

SNMPv3 クエリに対するCitrix ADC の構成