ADC

SNMPv3クエリ用のNetScaler 構成

簡易ネットワーク管理プロトコルバージョン 3(SNMPv3)は、SNMPv1 と SNMPv2 の基本構造とアーキテクチャに基づいています。ただし、SNMPv3 では基本アーキテクチャが強化され、認証、アクセスコントロール、データ整合性チェック、データ発信元検証、メッセージの適時性チェック、データ機密性などの管理機能とセキュリティ機能が組み込まれています。

メッセージレベルのセキュリティとアクセス制御を実装するために、SNMPv3ではユーザーベースのセキュリティモデル(USM)とビューベースのアクセス制御モデル(VACM)を導入しています。

  • ユーザーベースのセキュリティモデル。ユーザーベースのセキュリティモデル (USM) は、メッセージレベルのセキュリティを提供します。SNMP エージェントと SNMP マネージャーのユーザーとセキュリティパラメータを設定できます。USM には次の機能があります。
    • データ整合性: ネットワーク経由の送信中にメッセージが変更されないように保護します。
    • データオリジンの検証: メッセージリクエストを送信したユーザーを認証します。
    • メッセージの適時性: メッセージの遅延や再生を防ぐため。
    • データの機密性: メッセージの内容が権限のない団体や個人に開示されないようにするため。
  • ビューベースのアクセス制御モデル。ビューベースのアクセス制御モデル (VACM) では、セキュリティレベル、セキュリティモデル、ユーザー名、ビュータイプなどのさまざまなパラメータに基づいて、MIB の特定のサブツリーへのアクセス権を設定できます。これにより、さまざまなマネージャに MIB へのさまざまなレベルのアクセスを提供するようにエージェントを設定できます。

NetScalerは、SNMPv3のセキュリティ機能を実装できる以下のエンティティをサポートしています。

  • SNMP エンジン
  • SNMP ビュー
  • SNMP グループ
  • SNMP ユーザ

これらのエンティティは連携して機能し、SNMPv3 セキュリティ機能を実装します。MIB のサブツリーにアクセスできるように、ビューが作成されます。次に、必要なセキュリティレベルと定義済みのビューへのアクセス権を持つグループが作成されます。最後に、ユーザーが作成され、グループに割り当てられます。

注記:

ビュー、グループ、およびユーザー構成は同期され、高可用性 (HA) ペアのセカンダリノードに伝達されます。ただし、エンジンIDは各NetScalerアプライアンスに固有であるため、伝播も同期もされません。

メッセージ認証とアクセス制御を実装するには、以下を実行する必要があります。

エンジン ID の設定

SNMP エンジンは、SNMP エージェントに存在するサービスプロバイダーです。メッセージの送信、受信、認証などのサービスを提供します。SNMP エンジンはエンジン ID を使用して一意に識別されます。

NetScalerアプライアンスには、いずれかのインターフェースのMACアドレスに基づいて固有のEngineIDが割り当てられます。engine ID をオーバーライドする必要はありません。ただし、エンジン ID を変更したい場合はリセットできます。

コマンドラインインターフェイスを使用してエンジン ID を設定するには

コマンドプロンプトで次のコマンドを入力して、パラメーターを設定し、構成を確認します。

  • set snmp engineId <engineID>
  • show snmp engineId

> set snmp engineId 8000173f0300c095f80c68

GUI を使用してエンジン ID を設定するには

[ システム ] > [ SNMP ] > [ ユーザー] に移動し、[ エンジン ID の設定 ] をクリックしてエンジン ID を入力します。

ビューを設定

SNMP ビューは、ユーザアクセスを MIB の特定の部分に制限します。SNMP ビューはアクセス制御の実装に使用されます。

コマンドラインインターフェイスを使用して SNMP ビューを追加するには

コマンドプロンプトで次のコマンドを入力して、パラメーターを設定し、構成を確認します。

  • add snmp view <name> <subtree> -type ( included | excluded )
  • show snmp view <name>
  • rm snmp view <name> <subtree>

各項目の意味は次のとおりです。

Name: SNMPv3 ビューの名前。大文字と小文字、数字、ハイフン (-)、ピリオド (.)、ポンド (#)、スペース ()、アットマーク (@)、等号 (=)、コロン (:)、アンダースコア (_) を含む 1 ~ 31 文字で構成できます。SNMPv3 ビューを識別しやすい名前を選択する必要があります。

サブツリー。 この SNMPv3 ビューに関連付けたい MIB ツリーの特定のブランチ(サブツリー)。サブツリーは SNMP OID として指定する必要があります。これは最大長が 99 の引数です。

タイプ。subtree パラメータで指定されたサブツリーをこのビューに含めるか、このビューから除外します。この設定は、A などのサブツリーを SNMPv3 ビューに含め、B などの A の特定のサブツリーを SNMPv3 ビューから除外する場合に便利です。これは必須の議論です。指定できる値:含む、除外。

add snmp view SNMPv3test 1.1.1.1 -type included sh snmp view SNMPv3test rm snmp view SNMPv3test 1.1.1.1

GUI を使用して SNMP ビューを設定するには

[ システム ] > [ SNMP ] > [ ビュー] に移動し、SNMP ビューを作成します。

グループを設定

SNMPグループは、SNMPユーザーを論理的に集約したものです。これらは、アクセス制御の実装とセキュリティレベルの定義に使用されます。SNMP グループを設定して、そのグループに割り当てられたユーザーにアクセス権を設定することで、ユーザーを特定のビューに制限できます。

SNMP グループを設定して、そのグループに割り当てられたユーザーのアクセス権を設定する必要があります。

コマンドラインインターフェイスを使用して SNMP グループを追加するには

コマンドプロンプトで次のコマンドを入力して、パラメーターを設定し、構成を確認します。

  • add snmp group <name> <securityLevel> -readViewName <string>
  • show snmp group <name> <securityLevel>

各項目の意味は次のとおりです。

Name:SNMPv3 グループの名前。大文字と小文字、数字、ハイフン (-)、ピリオド (.)、ポンド (#)、スペース ()、アットマーク (@)、等号 (=)、コロン (:)、アンダースコア (_) を含む 1 ~ 31 文字で構成できます。 SNMPv3 グループを識別しやすい名前を選択してください。

securityLevel. NetScalerアプライアンスとグループに属するSNMPv3ユーザー間の通信に必要なセキュリティレベル。次のオプションのいずれかを指定します。

noAuthNoPriv. 認証も暗号化も必要ありません。

authNoPriv. 認証は必須ですが、暗号化は必須ではありません。

authPriv. 認証と暗号化が必要です。注:認証を指定する場合、SNMPv3 ユーザーをグループに割り当てるときに暗号化アルゴリズムを指定する必要があります。暗号化も指定する場合は、グループメンバーごとに認証と暗号化アルゴリズムの両方を割り当てる必要があります。これは必須の議論です。指定できる値:認証権限なし、認証権限なし、認証権限なし

readViewName. この SNMPv3 グループにバインドする設定済みの SNMPv3 ビューの名前。このグループにバインドされている SNMPv3 ユーザは、この SNMPv3 ビューに INCLUDED タイプとしてバインドされているサブツリーにはアクセスできますが、Excluded タイプのサブツリーにはアクセスできません。NetScalerアプライアンスに同じ名前の複数のSNMPv3ビューエントリがある場合、そのようなエントリはすべてSNMPv3グループに関連付けられます。これは必須の議論です。 最大長:31

GUI を使用して SNMP グループを設定するには

[ システム ] > [ SNMP ] > [ グループ] に移動し、SNMP グループを作成します。

ユーザーを設定する

SNMPユーザーは、エージェントがMIBへのアクセスを許可するSNMPマネージャーです。各 SNMP ユーザーは SNMP グループに割り当てられます。

エージェントでユーザーを設定し、各ユーザーをグループに割り当てる必要があります。

コマンドラインインターフェイスを使用してユーザーを設定するには

コマンドプロンプトで次のコマンドを入力して、パラメーターを設定し、構成を確認します。

  • add snmp user <name> -group <string> [-authType ( MD5 | SHA ) {-authPasswd } [-privType ( DES | AES ) {-privPasswd }]]
  • show snmp user <name>

各項目の意味は次のとおりです。

AuthType は、ユーザーを設定する際に使用できる認証オプションです。認証には MD5 と SHA の 2 種類があります。

PrivType は、ユーザーを設定する際に使用できる暗号化オプションです。暗号化には、キーサイズ128ビットのDESとキーサイズ128ビットのAESの2つのタイプがあります。

> add snmp user edocs_user -group edocs_group
<!--NeedCopy-->

GUI を使用して SNMP ユーザーを設定するには

[ システム ] > [ SNMP ] > [ ユーザー] に移動し、SNMP ユーザーを作成します。

SNMPv3クエリ用のNetScaler 構成