SNMPv3
В предыдущих версиях AIX поддерживалась только версия SNMPv1 протокола SNMP. SNMPv3, реализованный в AIX, обладает мощными и гибкими инструментами для обеспечения защиты сообщений и управления доступом.
Информация данного раздела относится только к SNMPv3.
- Проверка целостности данных, которая удостоверяет отсутствие изменений в переданной информации.
- Проверка источника данных, которая позволяет убедиться в том, что запрос или ответ поступил из указанного в сообщении источника.
- Проверка своевременности доставки сообщений и, по выбору, защита конфиденциальности данных.
В архитектуре SNMPv3 для защиты сообщений применяется Модель защиты на основе пользователей (USM), а для управления доступом - Модель управления доступом на основе представлений (VACM). Эта архитектура позволяет одновременно использовать различные модели защиты, управления доступом и обработки сообщений. Так, например, при необходимости, модель защиты на основе связей может применяться одновременно с USM.
В USM применяется понятие пользователя, для которого в системах агента и менеджера настроены параметры защиты (уровни защиты, протоколы идентификации и защиты данных и ключи). Для сообщений, отправляемых с помощью USM, обеспечивается более надежная защита, чем для сообщений, отправляемых с применением модели защиты на основе связей, которая предполагает передачу паролей без шифрования с возможностью их просмотра средствами трассировки. В модели USM для всех сообщений, предаваемых между агентом и диспетчером, выполняются функции проверки целостности данных и идентификации источника. Для защиты от задержек и повторов сообщений (за исключением тех, которые могут быть вызваны применением протокола передачи без соединений) в этой модели предусмотрены индикаторы времени и ИД запросов. Для защиты конфиденциальности данных и их шифрования предназначен отдельный продукт, который можно при необходимости установить в системе. Версия SNMP с шифрованием входит в состав пакета AIX Expansion Pack.
Применение VACM предполагает определение наборов данных (называемых представлениями), групп пользователей данных и операторов доступа, определяющих, к каким представлениям у группы есть права на чтение, запись или получение уведомлений.
SNMPv3 также позволяет динамически изменять конфигурацию агента SNMP с помощью команд SNMP SET для объектов MIB, представляющих конфигурацию агента. С помощью этой динамической функции можно добавлять, удалять и изменять записи конфигураций как из локальной, так и из удаленной системы.
Стратегии доступа и параметры защиты SNMPv3 определяются в файле /etc/snmpdv3.conf в системе агента SNMP и в файле /etc/clsnmp.conf в системе диспетчера SNMP. Сценарий, демонстрирующий настройку этих файлов, приведен в разделе Создание пользователей в SNMPv3. Также см. описание форматов файлов /etc/snmpdv3.conf и /etc/clsnmp.conf в книге Справочник по файлам .