开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > Internet/网络编程 > SNMP编程 > 查看源码
SNMP-USER-BASED-SM-MIB
资源名称:AdventNetSNMPAPI_4.zip [点击查看]
上传用户:aonuowh
上传日期:2021-05-23
资源大小:35390k
文件大小:37k
源码类别:

SNMP编程

开发平台:

C/C++

SNMP-USER-BASED-SM-MIB:源码内容
  1. SNMP-USER-BASED-SM-MIB DEFINITIONS ::= BEGIN
  3. IMPORTS
  4.     MODULE-IDENTITY, OBJECT-TYPE,
  5.     OBJECT-IDENTITY,
  6.     snmpModules, Counter32                FROM SNMPv2-SMI
  7.     TEXTUAL-CONVENTION, TestAndIncr,
  8.     RowStatus, RowPointer,
  9.     StorageType, AutonomousType           FROM SNMPv2-TC
  10.     MODULE-COMPLIANCE, OBJECT-GROUP       FROM SNMPv2-CONF
  11.     SnmpAdminString, SnmpEngineID,
  12.     snmpAuthProtocols, snmpPrivProtocols  FROM SNMP-FRAMEWORK-MIB;
  14. snmpUsmMIB MODULE-IDENTITY
  15.     LAST-UPDATED "9901200000Z"            -- 20 Jan 1999, midnight
  16.     ORGANIZATION "SNMPv3 Working Group"
  17.     CONTACT-INFO "WG-email:   snmpv3@lists.tislabs.com
  18.                   Subscribe:  majordomo@lists.tislabs.com
  19.                               In msg body:  subscribe snmpv3
  21.                   Chair:      Russ Mundy
  22.                               Trusted Information Systems
  23.                   postal:     3060 Washington Rd
  24.                               Glenwood MD 21738
  25.                               USA
  26.                   email:      mundy@tislabs.com
  27.                   phone:      +1-301-854-6889
  29.                   Co-editor   Uri Blumenthal
  30.                               IBM T. J. Watson Research
  31.                   postal:     30 Saw Mill River Pkwy,
  32.                               Hawthorne, NY 10532
  33.                               USA
  34.                   email:      uri@watson.ibm.com
  35.                   phone:      +1-914-784-7964
  37.                   Co-editor:  Bert Wijnen
  38.                               IBM T. J. Watson Research
  39.                   postal:     Schagen 33
  40.                               3461 GL Linschoten
  41.                               Netherlands
  42.                   email:      wijnen@vnet.ibm.com
  43.                   phone:      +31-348-432-794
  44.                  "
  45.     DESCRIPTION  "The management information definitions for the
  46.                   SNMP User-based Security Model.
  47.                  "
  48. --  Revision history
  50.     REVISION     "9901200000Z"            -- 20 Jan 1999, midnight
  51.     DESCRIPTION  "Clarifications, published as RFC2574"
  53.     REVISION     "9711200000Z"            -- 20 Nov 1997, midnight
  54.     DESCRIPTION  "Initial version, published as RFC2274"
  56.     ::= { snmpModules 15 }
  58. -- Administrative assignments ****************************************
  60. usmMIBObjects     OBJECT IDENTIFIER ::= { snmpUsmMIB 1 }
  61. usmMIBConformance OBJECT IDENTIFIER ::= { snmpUsmMIB 2 }
  63. -- Identification of Authentication and Privacy Protocols ************
  65. usmNoAuthProtocol OBJECT-IDENTITY
  66.     STATUS        current
  67.     DESCRIPTION  "No Authentication Protocol."
  68.     ::= { snmpAuthProtocols 1 }
  70. usmHMACMD5AuthProtocol OBJECT-IDENTITY
  71.     STATUS        current
  72.     DESCRIPTION  "The HMAC-MD5-96 Digest Authentication Protocol."
  73.     REFERENCE    "- H. Krawczyk, M. Bellare, R. Canetti HMAC:
  74.                     Keyed-Hashing for Message Authentication,
  75.                     RFC2104, Feb 1997.
  76.                   - Rivest, R., Message Digest Algorithm MD5, RFC1321.
  77.                  "
  78.     ::= { snmpAuthProtocols 2 }
  80. usmHMACSHAAuthProtocol OBJECT-IDENTITY
  81.     STATUS        current
  82.     DESCRIPTION  "The HMAC-SHA-96 Digest Authentication Protocol."
  83.     REFERENCE    "- H. Krawczyk, M. Bellare, R. Canetti, HMAC:
  84.                     Keyed-Hashing for Message Authentication,
  85.                     RFC2104, Feb 1997.
  86.                   - Secure Hash Algorithm. NIST FIPS 180-1.
  87.                  "
  88.     ::= { snmpAuthProtocols 3 }
  90. usmNoPrivProtocol OBJECT-IDENTITY
  91.     STATUS        current
  92.     DESCRIPTION  "No Privacy Protocol."
  93.     ::= { snmpPrivProtocols 1 }
  95. usmDESPrivProtocol OBJECT-IDENTITY
  96.     STATUS        current
  97.     DESCRIPTION  "The CBC-DES Symmetric Encryption Protocol."
  98.     REFERENCE    "- Data Encryption Standard, National Institute of
  99.                     Standards and Technology.  Federal Information
  100.                     Processing Standard (FIPS) Publication 46-1.
  101.                     Supersedes FIPS Publication 46,
  102.                     (January, 1977; reaffirmed January, 1988).
  104.                   - Data Encryption Algorithm, American National
  105.                     Standards Institute.  ANSI X3.92-1981,
  106.                     (December, 1980).
  108.                   - DES Modes of Operation, National Institute of
  109.                     Standards and Technology.  Federal Information
  110.                     Processing Standard (FIPS) Publication 81,
  111.                     (December, 1980).
  113.                   - Data Encryption Algorithm - Modes of Operation,
  114.                     American National Standards Institute.
  115.                     ANSI X3.106-1983, (May 1983).
  116.                  "
  117.     ::= { snmpPrivProtocols 2 }
  120. -- Textual Conventions ***********************************************
  123. KeyChange ::=     TEXTUAL-CONVENTION
  124.    STATUS         current
  125.    DESCRIPTION
  127.          "Every definition of an object with this syntax must identify
  128.           a protocol P, a secret key K, and a hash algorithm H
  129.           that produces output of L octets.
  131.           The object's value is a manager-generated, partially-random
  132.           value which, when modified, causes the value of the secret
  133.           key K, to be modified via a one-way function.
  135.           The value of an instance of this object is the concatenation
  136.           of two components: first a 'random' component and then a
  137.           'delta' component.
  139.           The lengths of the random and delta components
  140.           are given by the corresponding value of the protocol P;
  141.           if P requires K to be a fixed length, the length of both the
  142.           random and delta components is that fixed length; if P
  143.           allows the length of K to be variable up to a particular
  144.           maximum length, the length of the random component is that
  145.           maximum length and the length of the delta component is any
  146.           length less than or equal to that maximum length.
  147.           For example, usmHMACMD5AuthProtocol requires K to be a fixed
  148.           length of 16 octets and L - of 16 octets.
  149.           usmHMACSHAAuthProtocol requires K to be a fixed length of
  150.           20 octets and L - of 20 octets. Other protocols may define
  151.           other sizes, as deemed appropriate.
  153.           When a requester wants to change the old key K to a new
  154.           key keyNew on a remote entity, the 'random' component is
  155.           obtained from either a true random generator, or from a
  156.           pseudorandom generator, and the 'delta' component is
  157.           computed as follows:
  159.            - a temporary variable is initialized to the existing value
  160.              of K;
  161.            - if the length of the keyNew is greater than L octets,
  162.              then:
  163.               - the random component is appended to the value of the
  164.                 temporary variable, and the result is input to the
  165.                 the hash algorithm H to produce a digest value, and
  166.                 the temporary variable is set to this digest value;
  167.               - the value of the temporary variable is XOR-ed with
  168.                 the first (next) L-octets (16 octets in case of MD5)
  169.                 of the keyNew to produce the first (next) L-octets
  170.                 (16 octets in case of MD5) of the 'delta' component.
  171.               - the above two steps are repeated until the unused
  172.                 portion of the keyNew component is L octets or less,
  173.            - the random component is appended to the value of the
  174.              temporary variable, and the result is input to the
  176.              hash algorithm H to produce a digest value;
  177.            - this digest value, truncated if necessary to be the same
  178.              length as the unused portion of the keyNew, is XOR-ed
  179.              with the unused portion of the keyNew to produce the
  180.              (final portion of the) 'delta' component.
  182.            For example, using MD5 as the hash algorithm H:
  184.               iterations = (lenOfDelta - 1)/16; /* integer division */
  185.               temp = keyOld;
  186.               for (i = 0; i < iterations; i++) {
  187.                   temp = MD5 (temp || random);
  188.                   delta[i*16 .. (i*16)+15] =
  189.                          temp XOR keyNew[i*16 .. (i*16)+15];
  190.               }
  191.               temp = MD5 (temp || random);
  192.               delta[i*16 .. lenOfDelta-1] =
  193.                      temp XOR keyNew[i*16 .. lenOfDelta-1];
  195.           The 'random' and 'delta' components are then concatenated as
  196.           described above, and the resulting octet string is sent to
  197.           the recipient as the new value of an instance of this object.
  199.           At the receiver side, when an instance of this object is set
  200.           to a new value, then a new value of K is computed as follows:
  202.            - a temporary variable is initialized to the existing value
  203.              of K;
  204.            - if the length of the delta component is greater than L
  205.              octets, then:
  206.               - the random component is appended to the value of the
  207.                 temporary variable, and the result is input to the
  208.                 hash algorithm H to produce a digest value, and the
  209.                 temporary variable is set to this digest value;
  210.               - the value of the temporary variable is XOR-ed with
  211.                 the first (next) L-octets (16 octets in case of MD5)
  212.                 of the delta component to produce the first (next)
  213.                 L-octets (16 octets in case of MD5) of the new value
  214.                 of K.
  215.               - the above two steps are repeated until the unused
  216.                 portion of the delta component is L octets or less,
  217.            - the random component is appended to the value of the
  218.              temporary variable, and the result is input to the
  219.              hash algorithm H to produce a digest value;
  220.            - this digest value, truncated if necessary to be the same
  221.              length as the unused portion of the delta component, is
  222.              XOR-ed with the unused portion of the delta component to
  223.              produce the (final portion of the) new value of K.
  225.            For example, using MD5 as the hash algorithm H:
  227.               iterations = (lenOfDelta - 1)/16; /* integer division */
  228.               temp = keyOld;
  229.               for (i = 0; i < iterations; i++) {
  230.                   temp = MD5 (temp || random);
  231.                   keyNew[i*16 .. (i*16)+15] =
  232.                          temp XOR delta[i*16 .. (i*16)+15];
  233.               }
  234.               temp = MD5 (temp || random);
  235.               keyNew[i*16 .. lenOfDelta-1] =
  236.                      temp XOR delta[i*16 .. lenOfDelta-1];
  238.           The value of an object with this syntax, whenever it is
  239.           retrieved by the management protocol, is always the zero
  240.           length string.
  242.           Note that the keyOld and keyNew are the localized keys.
  244.           Note that it is probably wise that when an SNMP entity sends
  245.           a SetRequest to change a key, that it keeps a copy of the old
  246.           key until it has confirmed that the key change actually
  247.           succeeded.
  248.          "
  249.     SYNTAX       OCTET STRING
  252. -- Statistics for the User-based Security Model **********************
  255. usmStats         OBJECT IDENTIFIER ::= { usmMIBObjects 1 }
  258. usmStatsUnsupportedSecLevels OBJECT-TYPE
  259.     SYNTAX       Counter32
  260.     MAX-ACCESS   read-only
  261.     STATUS       current
  262.     DESCRIPTION "The total number of packets received by the SNMP
  263.                  engine which were dropped because they requested a
  264.                  securityLevel that was unknown to the SNMP engine
  265.                  or otherwise unavailable.
  266.                 "
  267.     ::= { usmStats 1 }
  269. usmStatsNotInTimeWindows OBJECT-TYPE
  270.     SYNTAX       Counter32
  271.     MAX-ACCESS   read-only
  272.     STATUS       current
  273.     DESCRIPTION "The total number of packets received by the SNMP
  274.                  engine which were dropped because they appeared
  275.                  outside of the authoritative SNMP engine's window.
  276.                 "
  277.     ::= { usmStats 2 }
  279. usmStatsUnknownUserNames OBJECT-TYPE
  280.     SYNTAX       Counter32
  281.     MAX-ACCESS   read-only
  282.     STATUS       current
  283.     DESCRIPTION "The total number of packets received by the SNMP
  284.                  engine which were dropped because they referenced a
  285.                  user that was not known to the SNMP engine.
  286.                 "
  287.     ::= { usmStats 3 }
  289. usmStatsUnknownEngineIDs OBJECT-TYPE
  290.     SYNTAX       Counter32
  291.     MAX-ACCESS   read-only
  292.     STATUS       current
  293.     DESCRIPTION "The total number of packets received by the SNMP
  294.                  engine which were dropped because they referenced an
  295.                  snmpEngineID that was not known to the SNMP engine.
  296.                 "
  297.     ::= { usmStats 4 }
  299. usmStatsWrongDigests OBJECT-TYPE
  300.     SYNTAX       Counter32
  301.     MAX-ACCESS   read-only
  302.     STATUS       current
  303.     DESCRIPTION "The total number of packets received by the SNMP
  304.                  engine which were dropped because they didn't
  305.                  contain the expected digest value.
  306.                 "
  307.     ::= { usmStats 5 }
  309. usmStatsDecryptionErrors OBJECT-TYPE
  310.     SYNTAX       Counter32
  311.     MAX-ACCESS   read-only
  312.     STATUS       current
  313.     DESCRIPTION "The total number of packets received by the SNMP
  314.                  engine which were dropped because they could not be
  315.                  decrypted.
  316.                 "
  317.     ::= { usmStats 6 }
  319. -- The usmUser Group ************************************************
  321. usmUser          OBJECT IDENTIFIER ::= { usmMIBObjects 2 }
  323. usmUserSpinLock  OBJECT-TYPE
  324.     SYNTAX       TestAndIncr
  325.     MAX-ACCESS   read-write
  326.     STATUS       current
  327.     DESCRIPTION "An advisory lock used to allow several cooperating
  328.                  Command Generator Applications to coordinate their
  329.                  use of facilities to alter secrets in the
  330.                  usmUserTable.
  331.                 "
  332.     ::= { usmUser 1 }
  334. -- The table of valid users for the User-based Security Model ********
  336. usmUserTable     OBJECT-TYPE
  337.     SYNTAX       SEQUENCE OF UsmUserEntry
  338.     MAX-ACCESS   not-accessible
  339.     STATUS       current
  340.     DESCRIPTION "The table of users configured in the SNMP engine's
  341.                  Local Configuration Datastore (LCD).
  343.                  To create a new user (i.e., to instantiate a new
  344.                  conceptual row in this table), it is recommended to
  345.                  follow this procedure:
  347.                    1)  GET(usmUserSpinLock.0) and save in sValue.
  348.                    2)  SET(usmUserSpinLock.0=sValue,
  349.                            usmUserCloneFrom=templateUser,
  350.                            usmUserStatus=createAndWait)
  351.                        You should use a template user to clone from
  352.                        which has the proper auth/priv protocol defined.
  354.                  If the new user is to use privacy:
  356.                    3)  generate the keyChange value based on the secret
  357.                        privKey of the clone-from user and the secret key
  358.                        to be used for the new user. Let us call this
  359.                        pkcValue.
  360.                    4)  GET(usmUserSpinLock.0) and save in sValue.
  361.                    5)  SET(usmUserSpinLock.0=sValue,
  362.                            usmUserPrivKeyChange=pkcValue
  363.                            usmUserPublic=randomValue1)
  364.                    6)  GET(usmUserPulic) and check it has randomValue1.
  365.                        If not, repeat steps 4-6.
  367.                  If the new user will never use privacy:
  369.                    7)  SET(usmUserPrivProtocol=usmNoPrivProtocol)
  371.                  If the new user is to use authentication:
  373.                    8)  generate the keyChange value based on the secret
  374.                        authKey of the clone-from user and the secret key
  375.                        to be used for the new user. Let us call this
  376.                        akcValue.
  377.                    9)  GET(usmUserSpinLock.0) and save in sValue.
  378.                    10) SET(usmUserSpinLock.0=sValue,
  379.                            usmUserAuthKeyChange=akcValue
  380.                            usmUserPublic=randomValue2)
  381.                    11) GET(usmUserPulic) and check it has randomValue2.
  382.                        If not, repeat steps 9-11.
  384.                  If the new user will never use authentication:
  386.                    12) SET(usmUserAuthProtocol=usmNoAuthProtocol)
  388.                  Finally, activate the new user:
  390.                    13) SET(usmUserStatus=active)
  392.                  The new user should now be available and ready to be
  393.                  used for SNMPv3 communication. Note however that access
  394.                  to MIB data must be provided via configuration of the
  395.                  SNMP-VIEW-BASED-ACM-MIB.
  397.                  The use of usmUserSpinlock is to avoid conflicts with
  398.                  another SNMP command responder application which may
  399.                  also be acting on the usmUserTable.
  400.                 "
  401.     ::= { usmUser 2 }
  403. usmUserEntry     OBJECT-TYPE
  404.     SYNTAX       UsmUserEntry
  405.     MAX-ACCESS   not-accessible
  406.     STATUS       current
  407.     DESCRIPTION "A user configured in the SNMP engine's Local
  408.                  Configuration Datastore (LCD) for the User-based
  409.                  Security Model.
  410.                 "
  411.     INDEX       { usmUserEngineID,
  412.                   usmUserName
  413.                 }
  414.     ::= { usmUserTable 1 }
  416. UsmUserEntry ::= SEQUENCE
  418.     {
  419.         usmUserEngineID         SnmpEngineID,
  420.         usmUserName             SnmpAdminString,
  421.         usmUserSecurityName     SnmpAdminString,
  422.         usmUserCloneFrom        RowPointer,
  423.         usmUserAuthProtocol     AutonomousType,
  424.         usmUserAuthKeyChange    KeyChange,
  425.         usmUserOwnAuthKeyChange KeyChange,
  426.         usmUserPrivProtocol     AutonomousType,
  427.         usmUserPrivKeyChange    KeyChange,
  428.         usmUserOwnPrivKeyChange KeyChange,
  429.         usmUserPublic           OCTET STRING,
  430.         usmUserStorageType      StorageType,
  431.         usmUserStatus           RowStatus
  432.     }
  434. usmUserEngineID  OBJECT-TYPE
  435.     SYNTAX       SnmpEngineID
  436.     MAX-ACCESS   not-accessible
  437.     STATUS       current
  438.     DESCRIPTION "An SNMP engine's administratively-unique identifier.
  440.                  In a simple agent, this value is always that agent's
  441.                  own snmpEngineID value.
  443.                  The value can also take the value of the snmpEngineID
  444.                  of a remote SNMP engine with which this user can
  445.                  communicate.
  446.                 "
  447.     ::= { usmUserEntry 1 }
  449. usmUserName      OBJECT-TYPE
  450.     SYNTAX       SnmpAdminString (SIZE(1..32))
  451.     MAX-ACCESS   not-accessible
  452.     STATUS       current
  453.     DESCRIPTION "A human readable string representing the name of
  454.                  the user.
  456.                  This is the (User-based Security) Model dependent
  457.                  security ID.
  458.                 "
  459.     ::= { usmUserEntry 2 }
  461. usmUserSecurityName OBJECT-TYPE
  462.     SYNTAX       SnmpAdminString
  463.     MAX-ACCESS   read-only
  464.     STATUS       current
  465.     DESCRIPTION "A human readable string representing the user in
  466.                  Security Model independent format.
  468.                  The default transformation of the User-based Security
  469.                  Model dependent security ID to the securityName and
  470.                  vice versa is the identity function so that the
  471.                  securityName is the same as the userName.
  472.                 "
  473.     ::= { usmUserEntry 3 }
  475. usmUserCloneFrom OBJECT-TYPE
  476.     SYNTAX       RowPointer
  477.     MAX-ACCESS   read-create
  478.     STATUS       current
  479.     DESCRIPTION "A pointer to another conceptual row in this
  480.                  usmUserTable.  The user in this other conceptual
  481.                  row is called the clone-from user.
  483.                  When a new user is created (i.e., a new conceptual
  484.                  row is instantiated in this table), the privacy and
  485.                  authentication parameters of the new user must be
  486.                  cloned from its clone-from user. These parameters are:
  487.                    - authentication protocol (usmUserAuthProtocol)
  488.                    - privacy protocol (usmUserPrivProtocol)
  489.                  They will be copied regardless of what the current
  490.                  value is.
  492.                  Cloning also causes the initial values of the secret
  493.                  authentication key (authKey) and the secret encryption
  494.                  key (privKey) of the new user to be set to the same
  495.                  value as the corresponding secret of the clone-from
  496.                  user.
  498.                  The first time an instance of this object is set by
  499.                  a management operation (either at or after its
  500.                  instantiation), the cloning process is invoked.
  501.                  Subsequent writes are successful but invoke no
  502.                  action to be taken by the receiver.
  503.                  The cloning process fails with an 'inconsistentName'
  504.                  error if the conceptual row representing the
  505.                  clone-from user does not exist or is not in an active
  506.                  state when the cloning process is invoked.
  508.                  When this object is read, the ZeroDotZero OID
  509.                  is returned.
  510.                 "
  511.     ::= { usmUserEntry 4 }
  513. usmUserAuthProtocol OBJECT-TYPE
  514.     SYNTAX       AutonomousType
  515.     MAX-ACCESS   read-create
  516.     STATUS       current
  517.     DESCRIPTION "An indication of whether messages sent on behalf of
  518.                  this user to/from the SNMP engine identified by
  519.                  usmUserEngineID, can be authenticated, and if so,
  520.                  the type of authentication protocol which is used.
  522.                  An instance of this object is created concurrently
  523.                  with the creation of any other object instance for
  524.                  the same user (i.e., as part of the processing of
  525.                  the set operation which creates the first object
  526.                  instance in the same conceptual row).
  528.                  If an initial set operation (i.e. at row creation time)
  529.                  tries to set a value for an unknown or unsupported
  530.                  protocol, then a 'wrongValue' error must be returned.
  532.                  The value will be overwritten/set when a set operation
  533.                  is performed on the corresponding instance of
  534.                  usmUserCloneFrom.
  536.                  Once instantiated, the value of such an instance of
  537.                  this object can only be changed via a set operation to
  538.                  the value of the usmNoAuthProtocol.
  540.                  If a set operation tries to change the value of an
  541.                  existing instance of this object to any value other
  542.                  than usmNoAuthProtocol, then an 'inconsistentValue'
  543.                  error must be returned.
  545.                  If a set operation tries to set the value to the
  546.                  usmNoAuthProtocol while the usmUserPrivProtocol value
  547.                  in the same row is not equal to usmNoPrivProtocol,
  548.                  then an 'inconsistentValue' error must be returned.
  549.                  That means that an SNMP command generator application
  550.                  must first ensure that the usmUserPrivProtocol is set
  551.                  to the usmNoPrivProtocol value before it can set
  552.                  the usmUserAuthProtocol value to usmNoAuthProtocol.
  553.                 "
  554.     DEFVAL      { usmNoAuthProtocol }
  555.     ::= { usmUserEntry 5 }
  557. usmUserAuthKeyChange OBJECT-TYPE
  558.     SYNTAX       KeyChange   -- typically (SIZE (0 | 32)) for HMACMD5
  559.                              -- typically (SIZE (0 | 40)) for HMACSHA
  560.     MAX-ACCESS   read-create
  561.     STATUS       current
  562.     DESCRIPTION "An object, which when modified, causes the secret
  563.                  authentication key used for messages sent on behalf
  564.                  of this user to/from the SNMP engine identified by
  565.                  usmUserEngineID, to be modified via a one-way
  566.                  function.
  568.                  The associated protocol is the usmUserAuthProtocol.
  569.                  The associated secret key is the user's secret
  570.                  authentication key (authKey). The associated hash
  571.                  algorithm is the algorithm used by the user's
  572.                  usmUserAuthProtocol.
  574.                  When creating a new user, it is an 'inconsistentName'
  575.                  error for a set operation to refer to this object
  576.                  unless it is previously or concurrently initialized
  577.                  through a set operation on the corresponding instance
  578.                  of usmUserCloneFrom.
  580.                  When the value of the corresponding usmUserAuthProtocol
  581.                  is usmNoAuthProtocol, then a set is successful, but
  582.                  effectively is a no-op.
  584.                  When this object is read, the zero-length (empty)
  585.                  string is returned.
  587.                  The recommended way to do a key change is as follows:
  589.                    1) GET(usmUserSpinLock.0) and save in sValue.
  590.                    2) generate the keyChange value based on the old
  591.                       (existing) secret key and the new secret key,
  592.                       let us call this kcValue.
  594.                  If you do the key change on behalf of another user:
  596.                    3) SET(usmUserSpinLock.0=sValue,
  597.                           usmUserAuthKeyChange=kcValue
  598.                           usmUserPublic=randomValue)
  600.                  If you do the key change for yourself:
  602.                    4) SET(usmUserSpinLock.0=sValue,
  603.                           usmUserOwnAuthKeyChange=kcValue
  604.                           usmUserPublic=randomValue)
  606.                  If you get a response with error-status of noError,
  607.                  then the SET succeeded and the new key is active.
  608.                  If you do not get a response, then you can issue a
  609.                  GET(usmUserPublic) and check if the value is equal
  610.                  to the randomValue you did send in the SET. If so, then
  611.                  the key change succeeded and the new key is active
  612.                  (probably the response got lost). If not, then the SET
  613.                  request probably never reached the target and so you
  614.                  can start over with the procedure above.
  615.                 "
  616.     DEFVAL      { ''H }    -- the empty string
  617.     ::= { usmUserEntry 6 }
  619. usmUserOwnAuthKeyChange OBJECT-TYPE
  620.     SYNTAX       KeyChange   -- typically (SIZE (0 | 32)) for HMACMD5
  621.                              -- typically (SIZE (0 | 40)) for HMACSHA
  622.     MAX-ACCESS   read-create
  623.     STATUS       current
  624.     DESCRIPTION "Behaves exactly as usmUserAuthKeyChange, with one
  625.                  notable difference: in order for the set operation
  626.                  to succeed, the usmUserName of the operation
  627.                  requester must match the usmUserName that
  628.                  indexes the row which is targeted by this
  629.                  operation.
  630.                  In addition, the USM security model must be
  631.                  used for this operation.
  633.                  The idea here is that access to this column can be
  634.                  public, since it will only allow a user to change
  635.                  his own secret authentication key (authKey).
  636.                  Note that this can only be done once the row is active.
  638.                  When a set is received and the usmUserName of the
  639.                  requester is not the same as the umsUserName that
  640.                  indexes the row which is targeted by this operation,
  641.                  then a 'noAccess' error must be returned.
  643.                  When a set is received and the security model in use
  644.                  is not USM, then a 'noAccess' error must be returned.
  645.                 "
  646.     DEFVAL      { ''H }    -- the empty string
  647.     ::= { usmUserEntry 7 }
  649. usmUserPrivProtocol OBJECT-TYPE
  650.     SYNTAX       AutonomousType
  651.     MAX-ACCESS   read-create
  652.     STATUS       current
  653.     DESCRIPTION "An indication of whether messages sent on behalf of
  654.                  this user to/from the SNMP engine identified by
  655.                  usmUserEngineID, can be protected from disclosure,
  656.                  and if so, the type of privacy protocol which is used.
  658.                  An instance of this object is created concurrently
  659.                  with the creation of any other object instance for
  660.                  the same user (i.e., as part of the processing of
  661.                  the set operation which creates the first object
  662.                  instance in the same conceptual row).
  664.                  If an initial set operation (i.e. at row creation time)
  665.                  tries to set a value for an unknown or unsupported
  666.                  protocol, then a 'wrongValue' error must be returned.
  668.                  The value will be overwritten/set when a set operation
  669.                  is performed on the corresponding instance of
  670.                  usmUserCloneFrom.
  672.                  Once instantiated, the value of such an instance of
  673.                  this object can only be changed via a set operation to
  674.                  the value of the usmNoPrivProtocol.
  676.                  If a set operation tries to change the value of an
  677.                  existing instance of this object to any value other
  678.                  than usmNoPrivProtocol, then an 'inconsistentValue'
  679.                  error must be returned.
  681.                  Note that if any privacy protocol is used, then you
  682.                  must also use an authentication protocol. In other
  683.                  words, if usmUserPrivProtocol is set to anything else
  684.                  than usmNoPrivProtocol, then the corresponding instance
  685.                  of usmUserAuthProtocol cannot have a value of
  686.                  usmNoAuthProtocol. If it does, then an
  687.                  'inconsistentValue' error must be returned.
  688.                 "
  689.     DEFVAL      { usmNoPrivProtocol }
  690.     ::= { usmUserEntry 8 }
  692. usmUserPrivKeyChange OBJECT-TYPE
  693.     SYNTAX       KeyChange  -- typically (SIZE (0 | 32)) for DES
  694.     MAX-ACCESS   read-create
  695.     STATUS       current
  696.     DESCRIPTION "An object, which when modified, causes the secret
  697.                  encryption key used for messages sent on behalf
  698.                  of this user to/from the SNMP engine identified by
  699.                  usmUserEngineID, to be modified via a one-way
  700.                  function.
  702.                  The associated protocol is the usmUserPrivProtocol.
  703.                  The associated secret key is the user's secret
  704.                  privacy key (privKey). The associated hash
  705.                  algorithm is the algorithm used by the user's
  706.                  usmUserAuthProtocol.
  708.                  When creating a new user, it is an 'inconsistentName'
  709.                  error for a set operation to refer to this object
  710.                  unless it is previously or concurrently initialized
  711.                  through a set operation on the corresponding instance
  712.                  of usmUserCloneFrom.
  714.                  When the value of the corresponding usmUserPrivProtocol
  715.                  is usmNoPrivProtocol, then a set is successful, but
  716.                  effectively is a no-op.
  718.                  When this object is read, the zero-length (empty)
  719.                  string is returned.
  720.                  See the description clause of usmUserAuthKeyChange for
  721.                  a recommended procedure to do a key change.
  722.                 "
  723.     DEFVAL      { ''H }    -- the empty string
  724.     ::= { usmUserEntry 9 }
  726. usmUserOwnPrivKeyChange OBJECT-TYPE
  727.     SYNTAX       KeyChange  -- typically (SIZE (0 | 32)) for DES
  728.     MAX-ACCESS   read-create
  729.     STATUS       current
  730.     DESCRIPTION "Behaves exactly as usmUserPrivKeyChange, with one
  731.                  notable difference: in order for the Set operation
  732.                  to succeed, the usmUserName of the operation
  733.                  requester must match the usmUserName that indexes
  734.                  the row which is targeted by this operation.
  735.                  In addition, the USM security model must be
  736.                  used for this operation.
  738.                  The idea here is that access to this column can be
  739.                  public, since it will only allow a user to change
  740.                  his own secret privacy key (privKey).
  741.                  Note that this can only be done once the row is active.
  743.                  When a set is received and the usmUserName of the
  744.                  requester is not the same as the umsUserName that
  745.                  indexes the row which is targeted by this operation,
  746.                  then a 'noAccess' error must be returned.
  748.                  When a set is received and the security model in use
  749.                  is not USM, then a 'noAccess' error must be returned.
  750.                 "
  751.     DEFVAL      { ''H }    -- the empty string
  752.     ::= { usmUserEntry 10 }
  754. usmUserPublic    OBJECT-TYPE
  755.     SYNTAX       OCTET STRING (SIZE(0..32))
  756.     MAX-ACCESS   read-create
  757.     STATUS       current
  758.     DESCRIPTION "A publicly-readable value which can be written as part
  759.                  of the procedure for changing a user's secret
  760.                  authentication and/or privacy key, and later read to
  761.                  determine whether the change of the secret was
  762.                  effected.
  763.                 "
  764.     DEFVAL      { ''H }  -- the empty string
  765.     ::= { usmUserEntry 11 }
  767. usmUserStorageType OBJECT-TYPE
  768.     SYNTAX       StorageType
  769.     MAX-ACCESS   read-create
  770.     STATUS       current
  771.     DESCRIPTION "The storage type for this conceptual row.
  773.                  Conceptual rows having the value 'permanent' must
  774.                  allow write-access at a minimum to:
  776.                  - usmUserAuthKeyChange, usmUserOwnAuthKeyChange
  777.                    and usmUserPublic for a user who employs
  778.                    authentication, and
  779.                  - usmUserPrivKeyChange, usmUserOwnPrivKeyChange
  780.                    and usmUserPublic for a user who employs
  781.                    privacy.
  783.                  Note that any user who employs authentication or
  784.                  privacy must allow its secret(s) to be updated and
  785.                  thus cannot be 'readOnly'.
  787.                  If an initial set operation tries to set the value to
  788.                  'readOnly' for a user who employs authentication or
  789.                  privacy, then an 'inconsistentValue' error must be
  790.                  returned.  Note that if the value has been previously
  791.                  set (implicit or explicit) to any value, then the rules
  792.                  as defined in the StorageType Textual Convention apply.
  794.                  It is an implementation issue to decide if a SET for
  795.                  a readOnly or permanent row is accepted at all. In some
  796.                  contexts this may make sense, in others it may not. If
  797.                  a SET for a readOnly or permanent row is not accepted
  798.                  at all, then a 'wrongValue' error must be returned.
  799.                 "
  800.     DEFVAL      { nonVolatile }
  801.     ::= { usmUserEntry 12 }
  803. usmUserStatus    OBJECT-TYPE
  804.     SYNTAX       RowStatus
  805.     MAX-ACCESS   read-create
  806.     STATUS       current
  807.     DESCRIPTION "The status of this conceptual row.
  809.                  Until instances of all corresponding columns are
  810.                  appropriately configured, the value of the
  811.                  corresponding instance of the usmUserStatus column
  812.                  is 'notReady'.
  814.                  In particular, a newly created row for a user who
  815.                  employs authentication, cannot be made active until the
  816.                  corresponding usmUserCloneFrom and usmUserAuthKeyChange
  817.                  have been set.
  819.                  Further, a newly created row for a user who also
  820.                  employs privacy, cannot be made active until the
  821.                  usmUserPrivKeyChange has been set.
  823.                  The RowStatus TC [RFC2579] requires that this
  824.                  DESCRIPTION clause states under which circumstances
  825.                  other objects in this row can be modified:
  827.                  The value of this object has no effect on whether
  828.                  other objects in this conceptual row can be modified,
  829.                  except for usmUserOwnAuthKeyChange and
  830.                  usmUserOwnPrivKeyChange. For these 2 objects, the
  831.                  value of usmUserStatus MUST be active.
  832.                 "
  833.     ::= { usmUserEntry 13 }
  835. -- Conformance Information *******************************************
  837. usmMIBCompliances OBJECT IDENTIFIER ::= { usmMIBConformance 1 }
  838. usmMIBGroups      OBJECT IDENTIFIER ::= { usmMIBConformance 2 }
  840. -- Compliance statements
  842. usmMIBCompliance MODULE-COMPLIANCE
  843.     STATUS       current
  844.     DESCRIPTION "The compliance statement for SNMP engines which
  845.                  implement the SNMP-USER-BASED-SM-MIB.
  846.                 "
  848.     MODULE       -- this module
  849.         MANDATORY-GROUPS { usmMIBBasicGroup }
  851.         OBJECT           usmUserAuthProtocol
  852.         MIN-ACCESS       read-only
  853.         DESCRIPTION     "Write access is not required."
  855.         OBJECT           usmUserPrivProtocol
  856.         MIN-ACCESS       read-only
  857.         DESCRIPTION     "Write access is not required."
  859.     ::= { usmMIBCompliances 1 }
  861. -- Units of compliance
  862. usmMIBBasicGroup OBJECT-GROUP
  863.     OBJECTS     {
  864.                   usmStatsUnsupportedSecLevels,
  865.                   usmStatsNotInTimeWindows,
  866.                   usmStatsUnknownUserNames,
  867.                   usmStatsUnknownEngineIDs,
  868.                   usmStatsWrongDigests,
  869.                   usmStatsDecryptionErrors,
  870.                   usmUserSpinLock,
  871.                   usmUserSecurityName,
  872.                   usmUserCloneFrom,
  873.                   usmUserAuthProtocol,
  874.                   usmUserAuthKeyChange,
  875.                   usmUserOwnAuthKeyChange,
  876.                   usmUserPrivProtocol,
  877.                   usmUserPrivKeyChange,
  878.                   usmUserOwnPrivKeyChange,
  879.                   usmUserPublic,
  880.                   usmUserStorageType,
  881.                   usmUserStatus
  882.                 }
  883.     STATUS       current
  884.     DESCRIPTION "A collection of objects providing for configuration
  885.                  of an SNMP engine which implements the SNMP
  886.                  User-based Security Model.
  887.                 "
  888.     ::= { usmMIBGroups 1 }
  890. END