Sicherheitsaspekte

Wenn eine Managementanwendung befugt ist, auf ein Schattenobjekt ohne Einschränkung zuzugreifen, bedeutet das nicht, daß sie auf die entsprechenden Managed Objects bzw. den entsprechenden Agenten ebenso uneingeschränkt zugreifen kann. Der vollständige Zugriff auf SNMP-Agenten wird nur gewährt, wenn der für den konkreten Zugriff erforderliche Community-String des Agenten bekannt ist. Der Community-String ist Bestandteil eines einfachen Paßwort-Mechanismus', der Zugriff auf SNMP-Agenten durch Unbefugte verhindern soll. Ein Agent verwirft eine SNMP-Message oder gewährt nur eingeschränkten Zugriff (z. B. nur lesenden), wenn der darin enthaltene Community-String nicht mit dem des Agenten übereinstimmt.

Letztendlich kann der Community-String eines Agenten nur durch die Managementanwendung selbst mitgeteilt werden. Folgende Lösungen sind möglich:

• Bei jedem Zugriff auf ein Schattenobjekt muß die Managementanwendung den Community-String des dazugehörigen Agenten mit übergeben (als Parameter der Zugriffsmethode). Auch wenn diese Lösung die ,,sicherste`` ist, geht die Transparenz des Zugriffs auf SNMP-Ressourcen verloren und scheidet deshalb aus.
• In jedem Schattenobjekt wird bei seiner Initialisierung der Community-String des entsprechenden Agenten gespeichert. Das Gateway verwendet dazu einen ,,Standard``-Community-String; der Manager hat die Möglichkeit, den Community-String eines Schattenobjektes zu verändern, um mehr Zugriffsrechte zu erlangen. übergibt den Community-String der Gatewaykomponente, die die SNMP-PDU erzeugt. Diese Lösung hat den Nachteil, daß der Manager (einmal) in allen Schattenobjekten, die einen Agenten repräsentieren, den Community-String setzen, damit er auf die gesamte Managementinformation dieses Agenten zugreifen kann.
• Die Community-Strings der Agenten, zu denen Schattenobjekte existieren, werden an zentraler Stelle im Gateway verwaltet. Eine Managementanwendung hat die Möglichkeit, Community-String im Gateway einzutragen bzw. zu ändern. Anhand der Adresse des Agenten, die vom Schattenobjekte übergeben wird, kann entschieden werden, welcher Community-String für die aktuelle SNMP-Message verwendet werden muß. Damit muß der Community-String eines Agenten nur einmal gesetzt werden (und gilt dann für alle Schattenobjekte, die diesen Agenten darstellen).

In den beiden letzten Fällen wird der (eventuell konfigurierte) Community-String eines Agenten automatisch in der SNMP-Message verwendet. Damit besteht die Gefahr, daß auf SNMP-Ressourcen unbefugt zugegriffen wird, da die Attributzugriffsfunktionen eines Schattenobjektes im Prinzip von jedem Objekt aufgerufen werden können. Es ist deshalb notwendig, den Zugriff auf das CORBA/SNMP-Gateway und auf die Schattenobjekte zu kontrollieren. Der CORBA Security Service unterstützt dazu notwendige Sicherheitsmechanismen.