SNMPv3

以前のバージョンの AIX オペレーティング・システムでは、SNMPv1 が AIX で使用可能な唯一の SNMP のバージョンでした。AIX オペレーティング・システムの SNMPv3 は、メッセージ・セキュリティーとアクセス制御において強力で柔軟なフレームワークを提供します。

このセクションの情報は、SNMPv3 にのみ適用されます。

メッセージ・セキュリティーでは、次のような検査が行われます。
  • データが転送中に変更されなかったことを確認するデータ保全性検査
  • 要求または応答がその発信元であるとされるソースから発信されることを確認するデータ発信元検査
  • 盗聴防止のためのメッセージの適時性検査、およびオプションでデータの機密性検査

SNMPv3 アーキテクチャーでは、メッセージ・セキュリティーのためのユーザー・ベース・セキュリティー・モデル (USM) と、アクセス制御のためのビュー・ベース・アクセス制御モデル (VACM) が導入されました。 このアーキテクチャーでは、異なったセキュリティー・モデル、アクセス制御モデル、およびメッセージ処理モデルの同時使用をサポートします。 例えば、コミュニティー・ベース・セキュリティーを USM と並行して使用することもできます。

USM では、ユーザーのセキュリティー・パラメーター (セキュリティーのレベル、認証とプライバシー・プロトコル、およびキー) が エージェントとマネージャーの両方で構成されるという概念を使用します。 USM を使用して送信されるメッセージは、コミュニティー・ベース・セキュリティーを使用して送信される メッセージ (パスワードが暗号化されずトレースに表示される) よりも保護されています。 USM の場合、マネージャーとエージェントの間で交換されるメッセージは、データ保全性検査とデータ発信元認証が行われます。 コネクションレス転送プロトコルのために、通常発生するレベルを超えるメッセージ遅延とメッセージ再生は、時間インディケーターと要求 ID を使用することで回避されます。 また、データの機密性つまり暗号化も、輸出関連法規で許可されている国では、個別にインストール可能な製品として入手できます。 SNMP 暗号化バージョンは AIX® 拡張パックにあります。

VACM を使用するには、データの集合 (ビューと呼ばれる)、データのユーザーのグループ、および、特定のユーザー・グループが読み取り、書き込み、またはトラップ内の受け取りに使用するビューを定義する アクセス・ステートメントを定義する必要があります。

また、SNMPv3 では、エージェントの構成を表す MIB オブジェクトに対して SNMP SET コマンドを使用して、SNMP エージェントを動的に構成する機能も導入されました。 この動的構成のサポートによって、ローカルあるいはリモートで、構成エントリーを追加、削除、変更できるようになりました。

SNMPv3 アクセス・ポリシーとセキュリティー・パラメーターは、SNMP エージェント上の /etc/snmpdv3.conf ファイルと、SNMP マネージャー上の /etc/clsnmp.conf ファイルに指定されています。 これらのファイルの構成方法のシナリオは、SNMPv3 でのユーザーの作成を参照してください。 また、ファイル参照/etc/snmpdv3.conf/etc/clsnmp.conf のファイル・フォーマットを参照することもできます。