snmp-server group
- モード
- グローバルコンフィグモード
- カテゴリー
- 運用・管理 / SNMP
構文
(config)# snmp-server group GROUP SECLEVEL {read VIEW & write VIEW & notify VIEW} [access-list LISTNAME] [ipv6-access-list LISTNAME]
(config)# no snmp-server group GROUP SECLEVEL
コマンド説明
(SNMPv3)ユーザーグループを定義する。no形式で実行した場合はユーザーグループを削除する。
パラメーター
GROUP- SNMPグループ名。20文字以内の文字列で指定する。大文字小文字は区別される
SECLEVEL := {auth|priv|noauth}- 本グループ所属のユーザーに求められる最低限のセキュリティーレベルを以下の3つから選択して指定する
auth- 認証あり・暗号化なし(authNoPriv)
priv- 認証あり・暗号化あり(authPriv)
noauth- 認証なし・暗号化なし(noAuthNoPriv)
read VIEW- 本グループ所属のユーザーが読み出せるMIBオブジェクトの範囲(ビュー)を指定する。ビューはsnmp-server viewコマンドで定義する。READVIEWの指定がない場合、本グループ所属のユーザーはいかなるMIBオブジェクトも読み出せない
write VIEW- 本グループ所属のユーザーが書き込めるMIBオブジェクトの範囲(ビュー)を指定する。ビューはsnmp-server viewコマンドで定義する。WRITEVIEWの指定がない場合、本グループ所属のユーザーはいかなるMIBオブジェクトにも書き込めない
notify VIEW- 本グループ所属のユーザーが受け取れる通知MIBオブジェクトの範囲(ビュー)を指定する。ビューはsnmp-server viewコマンドで定義する。NOTIFYVIEWの指定がない場合、本グループ所属のユーザーはいかなる通知MIBオブジェクトも受け取れない
access-list LISTNAME- 標準IPアクセスリスト名。本グループのユーザーでアクセス可能なSNMPステーションをIPv4アドレスで制限する場合に使う
ipv6-access-list LISTNAME- 標準IPv6アクセスリスト名。本グループのユーザーでアクセス可能なSNMPステーションをIPv6アドレスで制限する場合に使う
使用例
SNMPグループ「admins」を定義する。adminsグループのユーザーには、mostビューへのフルアクセス権を与え、また、通信時には認証と暗号化の両方を必須とする。awplus(config)# snmp-server group admins priv read most write most notify most
SNMPグループ「operators」を定義する。operatorsグループのユーザーには、standard ビューへの読み出しアクセス権だけを与え、また、通信時には認証だけを必須とする。
awplus(config)# snmp-server group operators auth read standard
注意・補足事項
グループ名とセキュリティーレベルの組み合わせは一意でなくてはならない。アクセス制御を行う場合、標準IPアクセスリスト、標準IPv6アクセスリストのdenyアクションは動作しない。
アクセスリスト末尾に存在する暗黙のdenyエントリーは動作するため、SNMPコミュニティーに対するアクセス制御は、許可するホストのpermitエントリーを列挙する形で行う。