home *** CD-ROM | disk | FTP | other *** search

---

/ OS/2 Shareware BBS: 10 Tools / 10-Tools.zip / iscsiprj.zip / draft-ietf-ips-auth-mib-00.txt

next >

Wrap

Text File  |  2002-06-02  |  61KB  |  1,851 lines

---

1.  
2.  
3.  
4.  
5.  
6.  
7. Internet Draft                                              Mark Bakke
8. <draft-ietf-ips-auth-mib-00.txt>                            Jim Muchow
9. Expires August 2002                                      Cisco Systems
10.  
11.                                                          February 2002
12.  
13.  
14.     Definitions of Managed Objects for User Identity Authentication
15.  
16.  
17.  
18. 1.  Status of this Memo
19.  
20.    This document is an Internet-Draft and is in full conformance with
21.    all provisions of Section 10 of RFC2026.
22.  
23.    Internet-Drafts are working documents of the Internet Engineering
24.    Task Force (IETF), its areas, and its working groups.  Note that
25.    other groups may also distribute working documents as Internet-
26.    Drafts.
27.  
28.    Internet-Drafts are draft documents valid for a maximum of six months
29.    and may be updated, replaced, or obsoleted by other documents at any
30.    time.  It is inappropriate to use Internet- Drafts as reference
31.    material or to cite them other than as "work in progress."
32.  
33.    The list of current Internet-Drafts can be accessed at
34.    http://www.ietf.org/ietf/1id-abstracts.txt
35.  
36.    The list of Internet-Draft Shadow Directories can be accessed at
37.    http://www.ietf.org/shadow.html.
38.  
39.  
40. 1.1.  Copyright Notice
41.  
42.    Copyright (C) The Internet Society (2001).  All Rights Reserved.
43.  
44.  
45. 2.  Abstract
46.  
47.    This memo defines a portion of the Management Information Base (MIB)
48.    for use with network management protocols in TCP/IP based internets.
49.    In particular it defines objects for managing user identities and the
50.    names, addresses, and credentials required to authenticate them, for
51.    use with various protocols.  This draft was motivated by the need for
52.    the configuration of authenticated user identities for the iSCSI
53.    protocol [ISCSI], but has been extended to be useful for other
54.    protocols that have similar requirements.  It is important to note
55.  
56.  
57.  
58. Bakke, Muchow              Expires August 2002                  [Page 1]
59.  
60. Internet Draft                  iSCSI MIB                  February 2002
61.  
62.  
63.    that this MIB provides only the set of identities and the means to
64.    authenticate them; it is the responsibility of other MIBs making use
65.    of this one to tie them to authorization lists.
66.  
67.  
68. 3.  Acknowledgments
69.  
70.    In addition to the authors, several people contributed to the
71.    development of this MIB through discussions of authentication,
72.    authorization, and access within the iSCSI MIB and security teams,
73.    including John Hufferd, Marjorie Krueger, Keith McCloghrie, Tom
74.    McSweeney, Steve Senum, and Josh Tseng.
75.  
76.    Thanks especially to Keith McCloghrie for serving as advisor for this
77.    MIB.
78.  
79.  
80. 4.  The SNMP Management Framework
81.  
82.    The SNMP Management Framework presently consists of five major
83.    components:
84.  
85.     o   An overall architecture, described in RFC 2571 [RFC2571].
86.  
87.     o   Mechanisms for describing and naming objects and events for the
88.         purpose of management.  The first version of this Structure of
89.         Management Information (SMI) is called SMIv1 and described in
90.         STD 16, RFC 1155 [RFC1155], STD 16, RFC 1212 [RFC1212] and RFC
91.         1215 [RFC1215].  The second version, called SMIv2, is described
92.         in STD 58, RFC 2578 [RFC2578], STD 58, RFC 2579 [RFC2579] and
93.         STD 58, RFC 2580 [RFC2580].
94.  
95.     o   Message protocols for transferring management information.  The
96.         first version of the SNMP message protocol is called SNMPv1 and
97.         described in STD 15, RFC 1157 [RFC1157].  A second version of
98.         the SNMP message protocol, which is not an Internet standards
99.         track protocol, is called SNMPv2c and described in RFC 1901
100.         [RFC1901] and RFC 1906 [RFC1906].  The third version of the
101.         message protocol is called SNMPv3 and described in RFC 1906
102.         [RFC1906], RFC 2572 [RFC2572] and RFC 2574 [RFC2574].
103.  
104.     o   Protocol operations for accessing management information.  The
105.         first set of protocol operations and associated PDU formats is
106.         described in STD 15, RFC 1157 [RFC1157].  A second set of
107.         protocol operations and associated PDU formats is described in
108.         RFC 1905 [RFC1905].
109.  
110.  
111.  
112.  
113.  
114. Bakke, Muchow              Expires August 2002                  [Page 2]
115.  
116. Internet Draft                  iSCSI MIB                  February 2002
117.  
118.  
119.     o   A set of fundamental applications described in RFC 2573
120.         [RFC2573] and the view-based access control mechanism described
121.         in RFC 2575 [RFC2575].
122.  
123.    A more detailed introduction to the current SNMP Management Framework
124.    can be found in RFC 2570 [RFC2570].
125.  
126.    Managed objects are accessed via a virtual information store, termed
127.    the Management Information Base or MIB.  Objects in the MIB are
128.    defined using the mechanisms defined in the SMI.
129.  
130.    This memo specifies a MIB module that is compliant to the SMIv2.  A
131.    MIB conforming to the SMIv1 can be produced through the appropriate
132.    translations.  The resulting translated MIB must be semantically
133.    equivalent, except where objects or events are omitted because no
134.    translation is possible (use of Counter64).  Some machine readable
135.    information in SMIv2 will be converted into textual descriptions in
136.    SMIv1 during the translation process.  However, this loss of machine
137.    readable information is not considered to change the semantics of the
138.    MIB.
139.  
140.    This MIB will be used to configure and/or look at the configuration
141.    of user identities and their authentication information.  For the
142.    purposes of this MIB, a "user" identity does not need to be an actual
143.    person; a user can also be a host, an application, a cluster of
144.    hosts, or any other identifiable entity that can be authenticated and
145.    granted access to a resource.
146.  
147.    Most objects in this MIB have a MAX-ACCESS of read-create; the MIB is
148.    intended to allow configuration of user identities and their names,
149.    addresses, and credentials.  MIN-ACCESS for all objects is read-only
150.    for those implementations that configure through other means, but
151.    require the ability to monitor user identities.
152.  
153.  
154. 5.  Relationship to Other MIBs
155.  
156.    The identity authentication MIB does not directly address objects
157.    within other MIBs.  The identity address objects contain IPv4, IPv6,
158.    or other address types, and as such may be indirectly related to
159.    objects within the IPv4 MIB [RFC1213, RFC2011] or IPv6 [RFC2465] MIB.
160.  
161.    This MIB does not cover authorization.  This should generally be done
162.    in MIBs that reference identities in this one.  It also does not
163.    cover login or authentication failure statistics or notifications, as
164.    these are all fairly application-specific, and not generic enough to
165.    include here.
166.  
167.  
168.  
169.  
170. Bakke, Muchow              Expires August 2002                  [Page 3]
171.  
172. Internet Draft                  iSCSI MIB                  February 2002
173.  
174.  
175.    The user identity objects within this MIB are typically referenced
176.    from other MIBs by a RowPointer within that MIB.  A MIB containing
177.    resources for which it requires a list of authorized user identities
178.    may create such a list, with a single RowPointer within each list
179.    element pointing to a user identity within this MIB.  This is neither
180.    required nor restricted by this MIB.
181.  
182.  
183. 6.  Discussion
184.  
185.    This MIB structure is intended to allow the configuration of a list
186.    of user identities, each with a list of names, addresses,
187.    credentials, and certificates which when combined will authenticate
188.    that identity.
189.  
190.    The authentication MIB is structured around two primary "objects",
191.    the authentication instance, and the identity, which serve as
192.    containers for the remainder of the objects.  This section contains a
193.    brief description of the "object" hierarchy and a description of each
194.    object, followed by a discussion of the actual SNMP table structure
195.    within the objects.
196.  
197. 6.1.  Identity Authentication MIB Object Model
198.  
199.    The top-level object in this structure is the authentication
200.    instance, which "contains" all of the other objects.  The indexing
201.    hierarchy of this MIB looks like:
202.  
203.    ipsAuthInstance
204.       -- A distinct authentication entity within the managed system.
205.       -- Most implementations will have just one of these.
206.       ipsAuthCertificate
207.          -- A public key certificate, which can be pointed to by
208.          -- an ipsAuthIdentity.
209.       ipsAuthIdentity
210.          -- A user identity, consisting of a set of identity names,
211.          -- addresses, and credentials reflected in the following
212.          -- objects, as well as a RowPointer to an ipsAuthCertificate.
213.          ipsAuthIdentityName
214.             -- A name for a user identity.  A name should be globally
215.             -- unique, and unchanging over time.  Some protocols may
216.             -- not require this one.
217.          ipsAuthIdentityAddress
218.             -- An address range, typically but not necessarily an
219.             -- IPv4 or IPv6 address range, at which the identity is
220.             -- allowed to reside.
221.          ipsAuthCredential
222.             -- A single credential, such as a CHAP username/password,
223.  
224.  
225.  
226. Bakke, Muchow              Expires August 2002                  [Page 4]
227.  
228. Internet Draft                  iSCSI MIB                  February 2002
229.  
230.  
231.             -- which can ipsAuthenticate the identity.
232.             ipsAuthCredChap
233.                -- CHAP-specific attributes for an ipsAuthCredential
234.             ipsAuthCredSrp
235.                -- SRP-specific attributes
236.             ipsAuthCredSpkm
237.                -- SPKM-specific attributes
238.             ipsAuthCredKerberos
239.                -- Kerberos-specific attributes
240.  
241.    An identity can contain multiple names, addresses, and credentials.
242.  
243.    Work - Add some examples here.
244.  
245.    Work - need examples showing how this can work on a client and a
246.    server, for mutual authentication.
247.  
248. 6.2.  ipsAuthInstance
249.  
250.    The ipsAuthInstanceAttributesTable is the primary table of the
251.    authentication MIB.  Every other table entry in this MIB includes the
252.    index of an ipsAuthInstanceAttributesEntry as its primary index.  An
253.    authentication instance is basically a managed set of identities.
254.  
255.    Many implementations will include just one authentication instance
256.    row in this table.  However, there will be cases where multiple rows
257.    in this table may be used:
258.  
259.    - A large system may be "partitioned" into multiple, distinct virtual
260.      systems, perhaps sharing the SNMP agent but not their lists of
261.      identities.  Each virtual system would have its own authentication
262.      instance.
263.  
264.    - A set of stackable systems, each with their own set of identities,
265.      may be managed by a common SNMP agent.  Each individual system
266.      would have its own authentication instance.
267.  
268.    - Multiple protocols, each with their own set of identities, may
269.      exist within a single system and be managed by a single SNMP agent.
270.      In this case, each protocol may have its own authentication
271.      instance.
272.  
273.  
274. 6.3.  ipsAuthCertificate
275.  
276.    The ipsAuthCertAttributesTable contains a list of certificates which
277.    can be used to authenticate user identities within the
278.    ipsAuthIdentAttributesTable.  Rather than copying each certificate
279.  
280.  
281.  
282. Bakke, Muchow              Expires August 2002                  [Page 5]
283.  
284. Internet Draft                  iSCSI MIB                  February 2002
285.  
286.  
287.    for each of its uses within the identities, the certificates are
288.    instead kept in their own list, and may be pointed to by individual
289.    identities.  This avoids duplication of certificates that may be used
290.    by more than one identity, as well as providing a way to keep track
291.    of certificates that are not currently in use by any given identity.
292.  
293.    The attribute ipsAuthCert contains the binary certificate, in X.509
294.    format [X.509].
295.  
296.    WORK - Need to say which attribute matches the identifier.
297.  
298.    WORK - some other references that may be helpful (remove if not):
299.  
300.    RFC2538 - Storing Certificates in the Domain Name System
301.  
302.    RFC2693 - SPKI Certificate Theory
303.  
304.    RFC2797 - Certificate Management Messages over CMS
305.  
306.    If the implementation making use of this MIB does not require the use
307.    of public key certificates, this table will be empty.
308.  
309. 6.4.  ipsAuthIdentity
310.  
311.    The ipsAuthIdentAttributesTable contains one entry for each
312.    configured user identity.  The identity contains only a description
313.    of what the identity is used for; its attributes are all contained in
314.    other tables, since they can have multiple values.
315.  
316.    Other MIBs containing lists of users authorized to access a
317.    particular resource should generally contain a RowPointer to the
318.    ipsAuthIdentAttributesEntry which will, if authenticated, be allowed
319.    access.
320.  
321.    All other table entries make use of the indices to this table as
322.    their primary indices.
323.  
324. 6.5.  ipsAuthIdentityName
325.  
326.    The ipsAuthIdentNameAttributesTable contains a list of UTF-8 names,
327.    each of which belong to, and may be used to identify, a particular
328.    identity in the authIdentity table.
329.  
330.    Implementations making use of the authentication MIB may identify
331.    their resources by names, addresses, or both.  A name is typically a
332.    unique (within the required scope), unchanging identifier for a
333.    resource. It will normally meet some or all of the requirements for a
334.    Uniform Resource Name [RFC1737], although a name in the context of
335.  
336.  
337.  
338. Bakke, Muchow              Expires August 2002                  [Page 6]
339.  
340. Internet Draft                  iSCSI MIB                  February 2002
341.  
342.  
343.    this MIB does not need to be a URN.  Identifiers that typically
344.    change over time should generally be placed into the
345.    ipsAuthIdentityAddress table; names that have no uniqueness
346.    properties should usually be placed into the description attribute
347.    for the identity.
348.  
349.    An example of an identity name is the iSCSI Name, defined in [ISCSI].
350.  
351.    If this table contains no entries associated with a particular user
352.    identity, the implementation does not need to check any name
353.    paramenters when authenticating that identity.  If the table contains
354.    multiple entries associated with a particular user identity, the
355.    implementation should consider a match with any one of these entries
356.    to be valid.
357.  
358. 6.6.  ipsAuthIdentityAddress
359.  
360.    The ipsAuthIdentAddrAttributesTable contains a list of addresses at
361.    which the identity may be authenticated.  For example, an identity
362.    may be allowed access to a resource only from a certain IP address,
363.    or only if its address is in a certain range or set of ranges.
364.  
365.    Each entry contains a starting and ending address.  If a single
366.    address is desired in the list, both starting and ending addresses
367.    should be identical.
368.  
369.    Each entry contains an AddrType attribute.  This attribute contains
370.    an enumeration registered as an IANA Address Family type [IANA-AF].
371.    Although many implementations will use IPv4 or IPv6 address types for
372.    these entries, any IANA-registered type may be used, as long as it
373.    makes sense to the application.
374.  
375.    Matching any address within any range within the list associated with
376.    a particular identity is considered to be a valid match.  If no
377.    entries are present in this list for a given identity, its address is
378.    not checked during authentication.
379.  
380.    WORK: Is it better to make ending == starting for a single address,
381.    or should the attribute simply not be returned?
382.  
383.    WORK: Is there any point to having a netmask if we have a range?
384.  
385. 6.7.  ipsAuthCredential
386.  
387.    The ipsAuthCredentialAttributesTable contains a list of credentials,
388.    each of which may authenticate a particular identity.
389.  
390.    Each credential contains an authentication method to be used, such as
391.  
392.  
393.  
394. Bakke, Muchow              Expires August 2002                  [Page 7]
395.  
396. Internet Draft                  iSCSI MIB                  February 2002
397.  
398.  
399.    CHAP [RFC1994], SRP [RFC2945], Kerberos [RFC1510], or SPKM [RFC2025].
400.    This attribute contains an object identifier instead of an enumerated
401.    type, allowing other MIBs to add their own authentication methods,
402.    without modifying this MIB.
403.  
404.    For each entry in this table, there will exist an entry in another
405.    table containing its attributes.  The table in which to place the
406.    entry depends on the AuthMethod attribute:
407.  
408.    CHAP     If the AuthMethod is set to the CHAP OID, an entry using the
409.             same indices as the ipsAuthCredential will exist in the
410.             ipsAuthCredChap table, which contains the CHAP username and
411.             password expected.
412.  
413.    SRP      If the AuthMethod is set to the SRP OID, an entry using the
414.             same indices as the ipsAuthCredential will exist in the
415.             ipsAuthCredSrp table, which contains the SRP username,
416.             password verifier, and salt.
417.  
418.    SPKM     If the AuthMethod is set to the SPKM OID, an entry using the
419.             same indices as the ipsAuthCredential will exist in the
420.             ipsAuthCredSpkm table, which contains the indices of the
421.             authCertificate entries that are expected.
422.  
423.    Kerberos If the AuthMethod is set to the Kerberos OID, an entry using
424.             the same indices as the ipsAuthCredential will exist in the
425.             ipsAuthCredKerberos table.  Contents are TBD.
426.  
427.    Other    If the AuthMethod is set to any OID not defined in this MIB,
428.             an entry using the same indices as the ipsAuthCredential
429.             entry should be placed in the other MIB that define whatever
430.             attributes are needed for that type of credential.
431.  
432. 6.8.  IP and Other Addresses
433.  
434.    WORK: Re-write based on address family types.
435.  
436.    The IP addresses in this MIB are represented by two attributes, one
437.    of type InetAddressType, and the other of type InetAddress.  These
438.    are taken from [IPV6MIB], which is an update to [RFC2851] specifying
439.    how to support addresses that may be either IPv4 or IPv6.
440.  
441. 6.9.  Descriptors: Using OIDs in Place of Enumerated Types
442.  
443.    Some attributes, particularly the authentication method attribute,
444.    would normally require an enumerated type.  However, implementations
445.    will likely need to add new authentication method types of their own,
446.    without extending this MIB.  To make this work, the MIB defines a set
447.  
448.  
449.  
450. Bakke, Muchow              Expires August 2002                  [Page 8]
451.  
452. Internet Draft                  iSCSI MIB                  February 2002
453.  
454.  
455.    of object identities within ipsAuthDescriptors.  Each of these object
456.    identities is basically an enumerated type.
457.  
458.    Attributes that make use of these object identities have a value
459.    which is an OID instead of an enumerated type.  These OIDs can either
460.    indicate the object identities defined in this MIB, or object
461.    identities defined elsewhere, such as in an enterprise MIB.  Those
462.    implementations that add their own authentication methods should also
463.    define a corresponding object identity for each of these methods
464.    within their own enterprise MIB, and return its OID whenever one of
465.    these attributes is using that method.
466.  
467. 6.10.  Notifications
468.  
469.    Monitoring of authentication failures and other notification events
470.    are outside the scope of this MIB, as they are generally application-
471.    specific.  No notifications are provided or required.
472.  
473.  
474.  
475.  
476.  
477.  
478.  
479.  
480.  
481.  
482.  
483.  
484.  
485.  
486.  
487.  
488.  
489.  
490.  
491.  
492.  
493.  
494.  
495.  
496.  
497.  
498.  
499.  
500.  
501.  
502.  
503.  
504.  
505.  
506. Bakke, Muchow              Expires August 2002                  [Page 9]
507.  
508. Internet Draft                  iSCSI MIB                  February 2002
509.  
510.  
511. 7.  MIB Definitions
512.  
513.  
514.  
515. IPS-AUTH-MIB DEFINITIONS  ::= BEGIN
516. -- 2/21-2002 Initial version
517.  
518. -- still some work to do (editor search for "Work")
519.  
520.     IMPORTS
521.     MODULE-IDENTITY, OBJECT-TYPE, OBJECT-IDENTITY, NOTIFICATION-TYPE,
522.     Unsigned32,
523.     experimental
524.     FROM SNMPv2-SMI
525.  
526.     TEXTUAL-CONVENTION, RowStatus,
527.     AutonomousType
528.     FROM SNMPv2-TC
529.  
530.     MODULE-COMPLIANCE, OBJECT-GROUP, NOTIFICATION-GROUP
531.     FROM SNMPv2-CONF
532.  
533.     SnmpAdminString
534.     FROM SNMP-FRAMEWORK-MIB -- RFC 2571
535.  
536. --  These are from draft-ietf-ops-rfc2851-update-06.txt
537. --  You will have to work out the details with your own
538. --  compiler being because they are so new.
539.     InetAddressType, InetAddress
540.     FROM INET-ADDRESS-MIB
541.     ;
542.  
543. ipsAuthModule MODULE-IDENTITY
544.     LAST-UPDATED  "200202210000Z"
545.     ORGANIZATION  "IETF IPS Working Group"
546.     CONTACT-INFO
547.     "
548.     Mark Bakke
549.     Postal: Cisco Systems, Inc
550.     6450 Wedgwood Road, Suite 130
551.     Maple Grove, MN
552.     USA 55311
553.  
554.     Tel: +1 763-398-1000
555.     Fax: +1 763-398-1001
556.  
557.     E-mail: mbakke@cisco.com"
558.  
559.  
560.  
561.  
562. Bakke, Muchow              Expires August 2002                 [Page 10]
563.  
564. Internet Draft                  iSCSI MIB                  February 2002
565.  
566.  
567.     DESCRIPTION
568.         "The IP Storage Authorization MIB module."
569.  
570.     REVISION "200202210000Z" -- February 21, 2001
571.     DESCRIPTION
572.         "Initial revision published as RFC xxxx."
573.  
574. --::= { mib-2 xx } -- to be assigned by IANA.
575. ::= { experimental 99999 } -- in case you want to COMPILE
576.  
577. ipsAuthObjects OBJECT IDENTIFIER ::= { ipsAuthModule 1 }
578. ipsAuthNotifications OBJECT IDENTIFIER ::= { ipsAuthModule 2 }
579. ipsAuthConformance OBJECT IDENTIFIER ::= { ipsAuthModule 3 }
580.  
581. -- Textual Conventions
582.  
583. ------------------------------------------------------------------------
584.  
585. ipsAuthDescriptors OBJECT IDENTIFIER ::= { ipsAuthObjects 1 }
586.  
587. ipsAuthMethodTypes OBJECT IDENTIFIER ::= { ipsAuthDescriptors 1 }
588.  
589. ipsAuthMethodNone OBJECT-IDENTITY
590.     STATUS      current
591.     DESCRIPTION
592.      "The authoritative identifier when no authentication
593.      method is used."
594.     REFERENCE "iSCSI Protocol Specification."
595. ::= { ipsAuthMethodTypes 1 }
596.  
597. ipsAuthMethodSrp OBJECT-IDENTITY
598.     STATUS      current
599.     DESCRIPTION
600.      "The authoritative identifier when the authentication
601.      method is SRP."
602.     REFERENCE "iSCSI Protocol Specification."
603. ::= { ipsAuthMethodTypes 2 }
604.  
605. ipsAuthMethodChap OBJECT-IDENTITY
606.     STATUS      current
607.     DESCRIPTION
608.      "The authoritative identifier when the authentication
609.      method is CHAP."
610.     REFERENCE "iSCSI Protocol Specification."
611. ::= { ipsAuthMethodTypes 3 }
612.  
613. ipsAuthMethodKrb5 OBJECT-IDENTITY
614.     STATUS      current
615.  
616.  
617.  
618. Bakke, Muchow              Expires August 2002                 [Page 11]
619.  
620. Internet Draft                  iSCSI MIB                  February 2002
621.  
622.  
623.     DESCRIPTION
624.      "The authoritative identifier when the authentication
625.      method is KRB-5."
626.     REFERENCE "iSCSI Protocol Specification."
627. ::= { ipsAuthMethodTypes 4 }
628.  
629. ipsAuthMethodSpkm1 OBJECT-IDENTITY
630.     STATUS      current
631.     DESCRIPTION
632.      "The authoritative identifier when the authentication
633.      method is SPKM-1."
634.     REFERENCE "iSCSI Protocol Specification."
635. ::= { ipsAuthMethodTypes 5 }
636.  
637. ipsAuthMethodSpkm2 OBJECT-IDENTITY
638.     STATUS      current
639.     DESCRIPTION
640.      "The authoritative identifier when the authentication
641.      method is SPKM-2."
642.     REFERENCE "iSCSI Protocol Specification."
643. ::= { ipsAuthMethodTypes 6 }
644.  
645. ----------------------------------------------------------------------
646.  
647. ipsAuthInstance OBJECT IDENTIFIER ::= { ipsAuthObjects 2 }
648.  
649. -- Instance Attributes Table
650.  
651. ipsAuthInstanceAttributesTable OBJECT-TYPE
652.     SYNTAX        SEQUENCE OF IpsAuthInstanceAttributesEntry
653.     MAX-ACCESS    not-accessible
654.     STATUS        current
655.     DESCRIPTION
656.         "A list of iSCSI instances present on the system."
657. ::= { ipsAuthInstance 2 }
658.  
659. ipsAuthInstanceAttributesEntry OBJECT-TYPE
660.     SYNTAX        IpsAuthInstanceAttributesEntry
661.     MAX-ACCESS    not-accessible
662.     STATUS        current
663.     DESCRIPTION
664.         "An entry (row) containing managment information applicable
665.         to a particular iSCSI instance."
666.     INDEX { ipsAuthInstIndex }
667. ::= { ipsAuthInstanceAttributesTable 1 }
668.  
669. IpsAuthInstanceAttributesEntry ::= SEQUENCE {
670.     ipsAuthInstIndex                 Unsigned32,
671.  
672.  
673.  
674. Bakke, Muchow              Expires August 2002                 [Page 12]
675.  
676. Internet Draft                  iSCSI MIB                  February 2002
677.  
678.  
679.     ipsAuthInstDescr                 SnmpAdminString
680. }
681.  
682. ipsAuthInstIndex OBJECT-TYPE
683.     SYNTAX        Unsigned32 (1..4294967295)
684.     MAX-ACCESS    not-accessible
685.     STATUS        current
686.     DESCRIPTION
687.         "An arbitrary integer used to uniquely identify a particular
688.         authentication instance."
689. ::= { ipsAuthInstanceAttributesEntry 1 }
690.  
691. ipsAuthInstDescr OBJECT-TYPE
692.     SYNTAX        SnmpAdminString
693.     MAX-ACCESS    read-write
694.     STATUS        current
695.     DESCRIPTION
696.         "An octet string, determined by the implementation to describe
697.      the authentication instance.  When only a single instance is present,
698.      this object may be set to the zero-length string; with multiple
699.      authentication instances, it may be used in an implementation-dependent
700.      manner to describe the purpose of the respective instance."
701. ::= { ipsAuthInstanceAttributesEntry 2 }
702.  
703.  
704. ipsAuthCertificate OBJECT IDENTIFIER ::= { ipsAuthObjects 3 }
705.  
706. -- Authorized Certificate Attributes Table
707.  
708. ipsAuthCertAttributesTable OBJECT-TYPE
709.     SYNTAX        SEQUENCE OF IpsAuthCertAttributesEntry
710.     MAX-ACCESS    not-accessible
711.     STATUS        current
712.     DESCRIPTION
713.         "A list of certificates that may be used to authenticate
714.      user identities."
715. ::= { ipsAuthCertificate 1 }
716.  
717. ipsAuthCertAttributesEntry OBJECT-TYPE
718.     SYNTAX        IpsAuthCertAttributesEntry
719.     MAX-ACCESS    not-accessible
720.     STATUS        current
721.     DESCRIPTION
722.         "An entry (row) containing management information
723.         applicable to a certificate which may be used to authenticate
724.         a user identity within an authentication instance."
725.     INDEX { ipsAuthInstIndex, ipsAuthCertIndex }
726. ::= { ipsAuthCertAttributesTable  1 }
727.  
728.  
729.  
730. Bakke, Muchow              Expires August 2002                 [Page 13]
731.  
732. Internet Draft                  iSCSI MIB                  February 2002
733.  
734.  
735. IpsAuthCertAttributesEntry ::= SEQUENCE {
736.     ipsAuthCertIndex                   Unsigned32,
737.     ipsAuthCertDescription             SnmpAdminString,
738.     ipsAuthCertIdentity                OCTET STRING,
739.     ipsAuthCert                        OCTET STRING,
740.     ipsAuthCertRowStatus               RowStatus
741. }
742.  
743. ipsAuthCertIndex OBJECT-TYPE
744.     SYNTAX        Unsigned32 (1..4294967295)
745.     MAX-ACCESS    not-accessible
746.     STATUS        current
747.     DESCRIPTION
748.         "An arbitrary integer used to uniquely identify a particular
749.         certificate instance within an authentication instance present
750.         on the node."
751. ::= { ipsAuthCertAttributesEntry 1 }
752.  
753.  
754. ipsAuthCertDescription OBJECT-TYPE
755.     SYNTAX        SnmpAdminString
756.     MAX-ACCESS    read-create
757.     STATUS        current
758.     DESCRIPTION
759.         "An octet string describing this certificate."
760. ::= { ipsAuthCertAttributesEntry 2 }
761.  
762. ipsAuthCertIdentity OBJECT-TYPE
763.     SYNTAX        OCTET STRING
764.     MAX-ACCESS    read-create
765.     STATUS        current
766.     DESCRIPTION
767.         "An octet string, which is either a copy of the XXX attribute
768.      from the certificate, or an empty string.  If this attribute
769.      is not empty, it MUST match value of the XXX attribute from
770.      the certificate."
771. ::= { ipsAuthCertAttributesEntry 3 }
772.  
773. ipsAuthCert OBJECT-TYPE
774.     SYNTAX        OCTET STRING
775.     MAX-ACCESS    read-create
776.     STATUS        current
777.     DESCRIPTION
778.         "The certificate, encoded in X.509 format."
779. ::= { ipsAuthCertAttributesEntry 4 }
780.  
781. ipsAuthCertRowStatus OBJECT-TYPE
782.     SYNTAX        RowStatus
783.  
784.  
785.  
786. Bakke, Muchow              Expires August 2002                 [Page 14]
787.  
788. Internet Draft                  iSCSI MIB                  February 2002
789.  
790.  
791.     MAX-ACCESS    read-create
792.     STATUS        current
793.     DESCRIPTION
794.         "This field allows entries to be dynamically added and
795.      removed from this table via SNMP."
796. ::= { ipsAuthCertAttributesEntry 5 }
797.  
798.  
799. ipsAuthIdentity OBJECT IDENTIFIER ::= { ipsAuthObjects 4 }
800.  
801. -- iSCSI User Identity Attributes Table
802.  
803. ipsAuthIdentAttributesTable OBJECT-TYPE
804.     SYNTAX        SEQUENCE OF IpsAuthIdentAttributesEntry
805.     MAX-ACCESS    not-accessible
806.     STATUS        current
807.     DESCRIPTION
808.      "A list of user identities, each belonging to a particular
809.      ipsAuthInstance."
810. ::= { ipsAuthIdentity 1 }
811.  
812. ipsAuthIdentAttributesEntry OBJECT-TYPE
813.     SYNTAX        IpsAuthIdentAttributesEntry
814.     MAX-ACCESS    not-accessible
815.     STATUS        current
816.     DESCRIPTION
817.         "An entry (row) containing management information
818.         describing a user identity
819.         within an authentication instance on this node."
820.     INDEX { ipsAuthInstIndex, ipsAuthIdentIndex }
821. ::= { ipsAuthIdentAttributesTable  1 }
822.  
823. IpsAuthIdentAttributesEntry ::= SEQUENCE {
824.     ipsAuthIdentIndex                   Unsigned32,
825.     ipsAuthIdentDescription             SnmpAdminString,
826.     ipsAuthIdentRowStatus               RowStatus
827. }
828.  
829. ipsAuthIdentIndex OBJECT-TYPE
830.     SYNTAX        Unsigned32 (1..4294967295)
831.     MAX-ACCESS    not-accessible
832.     STATUS        current
833.     DESCRIPTION
834.         "An arbitrary integer used to uniquely identify a particular
835.         identity instance within an authentication instance present
836.      on the node."
837. ::= { ipsAuthIdentAttributesEntry 1 }
838.  
839.  
840.  
841.  
842. Bakke, Muchow              Expires August 2002                 [Page 15]
843.  
844. Internet Draft                  iSCSI MIB                  February 2002
845.  
846.  
847. ipsAuthIdentDescription OBJECT-TYPE
848.     SYNTAX        SnmpAdminString
849.     MAX-ACCESS    read-create
850.     STATUS        current
851.     DESCRIPTION
852.         "An octet string describing this particular identity."
853. ::= { ipsAuthIdentAttributesEntry 2 }
854.  
855. ipsAuthIdentRowStatus OBJECT-TYPE
856.     SYNTAX        RowStatus
857.     MAX-ACCESS    read-create
858.     STATUS        current
859.     DESCRIPTION
860.         "This field allows entries to be dynamically added and
861.      removed from this table via SNMP."
862. ::= { ipsAuthIdentAttributesEntry 3 }
863.  
864.  
865. ipsAuthIdentityName OBJECT IDENTIFIER ::= { ipsAuthObjects 5 }
866.  
867. -- iSCSI User Initiator Name Attributes Table
868.  
869. ipsAuthIdentNameAttributesTable OBJECT-TYPE
870.     SYNTAX        SEQUENCE OF IpsAuthIdentNameAttributesEntry
871.     MAX-ACCESS    not-accessible
872.     STATUS        current
873.     DESCRIPTION
874.         "A list of unique names that can be used to positively
875.      identify a particular user identity."
876. ::= { ipsAuthIdentityName 1 }
877.  
878. ipsAuthIdentNameAttributesEntry OBJECT-TYPE
879.     SYNTAX        IpsAuthIdentNameAttributesEntry
880.     MAX-ACCESS    not-accessible
881.     STATUS        current
882.     DESCRIPTION
883.         "An entry (row) containing management information
884.         applicable to a unique identity name which can be used
885.      to uniquely identify a user identity within a particular
886.      authentication instance."
887.     INDEX { ipsAuthInstIndex, ipsAuthIdentIndex, ipsAuthIdentNameIndex }
888. ::= { ipsAuthIdentNameAttributesTable  1 }
889.  
890. IpsAuthIdentNameAttributesEntry ::= SEQUENCE {
891.     ipsAuthIdentNameIndex                   Unsigned32,
892.     ipsAuthIdentName                        SnmpAdminString,
893.     ipsAuthIdentNameRowStatus               RowStatus
894. }
895.  
896.  
897.  
898. Bakke, Muchow              Expires August 2002                 [Page 16]
899.  
900. Internet Draft                  iSCSI MIB                  February 2002
901.  
902.  
903. ipsAuthIdentNameIndex OBJECT-TYPE
904.     SYNTAX        Unsigned32 (1..4294967295)
905.     MAX-ACCESS    not-accessible
906.     STATUS        current
907.     DESCRIPTION
908.         "An arbitrary integer used to uniquely identify a particular
909.         identity name instance within an ipsAuthIdentity within an
910.      authentication instance."
911. ::= { ipsAuthIdentNameAttributesEntry 1 }
912.  
913. ipsAuthIdentName OBJECT-TYPE
914.     SYNTAX        SnmpAdminString
915.     MAX-ACCESS    read-create
916.     STATUS        current
917.     DESCRIPTION
918.         "A character string which is the unique name of an
919.      identity that may be used to identify this
920.      ipsAuthIdent entry."
921. ::= { ipsAuthIdentNameAttributesEntry 2 }
922.  
923. ipsAuthIdentNameRowStatus OBJECT-TYPE
924.     SYNTAX        RowStatus
925.     MAX-ACCESS    read-create
926.     STATUS        current
927.     DESCRIPTION
928.         "This field allows entries to be dynamically added and
929.      removed from this table via SNMP."
930. ::= { ipsAuthIdentNameAttributesEntry 3 }
931.  
932.  
933. ipsAuthIdentityAddress OBJECT IDENTIFIER ::= { ipsAuthObjects 6 }
934.  
935. -- iSCSI User Initiator Address Attributes Table
936.  
937. -- Work: Add the FC stuff here and IANA Address family
938. ipsAuthIdentAddrAttributesTable OBJECT-TYPE
939.     SYNTAX        SEQUENCE OF IpsAuthIdentAddrAttributesEntry
940.     MAX-ACCESS    not-accessible
941.     STATUS        current
942.     DESCRIPTION
943.         "A list of address ranges that are allowed to serve
944.      as the endpoint addresses of a particular identity.
945.      An address range includes a starting and ending address
946.      and an optional netmask, and an address type indicator,
947.      which can specify whether the address is IPv4, IPv6,
948.      FC-WWPN, or FC-WWNN."
949. ::= { ipsAuthIdentityAddress 1 }
950.  
951.  
952.  
953.  
954. Bakke, Muchow              Expires August 2002                 [Page 17]
955.  
956. Internet Draft                  iSCSI MIB                  February 2002
957.  
958.  
959. ipsAuthIdentAddrAttributesEntry OBJECT-TYPE
960.     SYNTAX        IpsAuthIdentAddrAttributesEntry
961.     MAX-ACCESS    not-accessible
962.     STATUS        current
963.     DESCRIPTION
964.         "An entry (row) containing management information
965.         applicable to an address range which is used as part
966.      of the authentication of an identity
967.         within an authentication instance on this node."
968.     INDEX { ipsAuthInstIndex, ipsAuthIdentIndex, ipsAuthIdentAddrIndex }
969. ::= { ipsAuthIdentAddrAttributesTable  1 }
970.  
971. IpsAuthIdentAddrAttributesEntry ::= SEQUENCE {
972.     ipsAuthIdentAddrIndex                   Unsigned32,
973.     ipsAuthIdentAddrType                    InetAddressType,
974.     ipsAuthIdentAddrStart                   InetAddress,
975.     ipsAuthIdentAddrEnd                     InetAddress,
976.     ipsAuthIdentAddrMask                    InetAddress,
977.     ipsAuthIdentAddrRowStatus               RowStatus
978. }
979.  
980. ipsAuthIdentAddrIndex OBJECT-TYPE
981.     SYNTAX        Unsigned32 (1..4294967295)
982.     MAX-ACCESS    not-accessible
983.     STATUS        current
984.     DESCRIPTION
985.         "An arbitrary integer used to uniquely identify a particular
986.         ipsAuthIdentAddress instance within an ipsAuthIdentity within an
987.      authentication instance present on the node."
988. ::= { ipsAuthIdentAddrAttributesEntry 1 }
989.  
990. ipsAuthIdentAddrType OBJECT-TYPE
991.     SYNTAX        InetAddressType
992.     MAX-ACCESS    read-create
993.     STATUS        current
994.     DESCRIPTION
995.         "The type of Address in the ipsAuthIdentAddress start, end,
996.      and mask fields.  This type is taken from the IANA address
997.      family types; more types may be registered independently
998.      of this MIB."
999. ::= { ipsAuthIdentAddrAttributesEntry 2 }
1000.  
1001. ipsAuthIdentAddrStart OBJECT-TYPE
1002.     SYNTAX        InetAddress
1003.     MAX-ACCESS    read-create
1004.     STATUS        current
1005.     DESCRIPTION
1006.         "The starting address of the allowed address range."
1007.  
1008.  
1009.  
1010. Bakke, Muchow              Expires August 2002                 [Page 18]
1011.  
1012. Internet Draft                  iSCSI MIB                  February 2002
1013.  
1014.  
1015. ::= { ipsAuthIdentAddrAttributesEntry 3 }
1016.  
1017. ipsAuthIdentAddrEnd OBJECT-TYPE
1018.     SYNTAX        InetAddress
1019.     MAX-ACCESS    read-create
1020.     STATUS        current
1021.     DESCRIPTION
1022.         "The ending address of the allowed address range.  If the
1023.          ipsAuthIdentAddrEntry specifies a single address, this shall
1024.          match the ipsAuthIdentAddrStart."
1025. ::= { ipsAuthIdentAddrAttributesEntry 4 }
1026.  
1027.  
1028. -- Work: Need to think through whether we need a mask.
1029.  
1030. ipsAuthIdentAddrMask OBJECT-TYPE
1031.     SYNTAX        InetAddress
1032.     MAX-ACCESS    read-create
1033.     STATUS        current
1034.     DESCRIPTION
1035.         "The Address mask. -- NEED TO SPECIFY EXACTLY HOW USED W/RANGE"
1036. ::= { ipsAuthIdentAddrAttributesEntry 5 }
1037.  
1038. ipsAuthIdentAddrRowStatus OBJECT-TYPE
1039.     SYNTAX        RowStatus
1040.     MAX-ACCESS    read-create
1041.     STATUS        current
1042.     DESCRIPTION
1043.         "This field allows entries to be dynamically added and
1044.      removed from this table via SNMP."
1045. ::= { ipsAuthIdentAddrAttributesEntry 6 }
1046.  
1047.  
1048. ipsAuthCredential OBJECT IDENTIFIER ::= { ipsAuthObjects 7 }
1049.  
1050. -- Identity Credential Attributes Table
1051.  
1052. ipsAuthCredentialAttributesTable OBJECT-TYPE
1053.     SYNTAX        SEQUENCE OF IpsAuthCredentialAttributesEntry
1054.     MAX-ACCESS    not-accessible
1055.     STATUS        current
1056.     DESCRIPTION
1057.         "A list of credentials related to user identities
1058.      that are allowed as valid authenticators of the
1059.      particular identity."
1060. ::= { ipsAuthCredential 1 }
1061.  
1062. ipsAuthCredentialAttributesEntry OBJECT-TYPE
1063.  
1064.  
1065.  
1066. Bakke, Muchow              Expires August 2002                 [Page 19]
1067.  
1068. Internet Draft                  iSCSI MIB                  February 2002
1069.  
1070.  
1071.     SYNTAX        IpsAuthCredentialAttributesEntry
1072.     MAX-ACCESS    not-accessible
1073.     STATUS        current
1074.     DESCRIPTION
1075.         "An entry (row) containing management information
1076.         applicable to a credential which authenticates a user
1077.         identity within an authentication instance."
1078.     INDEX { ipsAuthInstIndex, ipsAuthIdentIndex, ipsAuthCredIndex }
1079. ::= { ipsAuthCredentialAttributesTable  1 }
1080.  
1081. IpsAuthCredentialAttributesEntry ::= SEQUENCE {
1082.     ipsAuthCredIndex                   Unsigned32,
1083.     ipsAuthCredAuthMethod              AutonomousType,
1084.     ipsAuthCredUserName                SnmpAdminString,
1085.     ipsAuthCredRowStatus               RowStatus
1086. }
1087.  
1088. ipsAuthCredIndex OBJECT-TYPE
1089.     SYNTAX        Unsigned32 (1..4294967295)
1090.     MAX-ACCESS    not-accessible
1091.     STATUS        current
1092.     DESCRIPTION
1093.         "An arbitrary integer used to uniquely identify a particular
1094.         iSCSI Credential instance within an iSCSI instance present on the
1095.         node."
1096. ::= { ipsAuthCredentialAttributesEntry 1 }
1097.  
1098. ipsAuthCredAuthMethod OBJECT-TYPE
1099.     SYNTAX        AutonomousType
1100.     MAX-ACCESS    read-create
1101.     STATUS        current
1102.     DESCRIPTION
1103.      "This object contains an OBJECT IDENTIFIER
1104.      which identifies the authentication method
1105.      used with this credential.
1106.  
1107.      Some standardized values for this object are defined
1108.      within the ipsAuthMethods subtree."
1109. ::= { ipsAuthCredentialAttributesEntry 2 }
1110.  
1111. ipsAuthCredUserName OBJECT-TYPE
1112.     SYNTAX        SnmpAdminString
1113.     MAX-ACCESS    read-create
1114.     STATUS        current
1115.     DESCRIPTION
1116.         "An octet string containing the user name for this credential,
1117.      if it is applicable to the ipsAuthCredAuthMethod."
1118. ::= { ipsAuthCredentialAttributesEntry 3 }
1119.  
1120.  
1121.  
1122. Bakke, Muchow              Expires August 2002                 [Page 20]
1123.  
1124. Internet Draft                  iSCSI MIB                  February 2002
1125.  
1126.  
1127. ipsAuthCredRowStatus OBJECT-TYPE
1128.     SYNTAX        RowStatus
1129.     MAX-ACCESS    read-create
1130.     STATUS        current
1131.     DESCRIPTION
1132.         "This field allows entries to be dynamically added and
1133.      removed from this table via SNMP."
1134. ::= { ipsAuthCredentialAttributesEntry 4 }
1135.  
1136.  
1137.  
1138. ipsAuthCredChap OBJECT IDENTIFIER ::= { ipsAuthObjects 8 }
1139.  
1140. -- Credential Chap-Specific Attributes Table
1141.  
1142. ipsAuthCredChapAttributesTable OBJECT-TYPE
1143.     SYNTAX        SEQUENCE OF IpsAuthCredChapAttributesEntry
1144.     MAX-ACCESS    not-accessible
1145.     STATUS        current
1146.     DESCRIPTION
1147.         "A list of CHAP attributes for credentials that
1148.      have their ipsAuthCredAuthMethod == ipsAuthMethodChap."
1149. ::= { ipsAuthCredChap 1 }
1150.  
1151. ipsAuthCredChapAttributesEntry OBJECT-TYPE
1152.     SYNTAX        IpsAuthCredChapAttributesEntry
1153.     MAX-ACCESS    not-accessible
1154.     STATUS        current
1155.     DESCRIPTION
1156.         "An entry (row) containing management information
1157.         applicable to a credential which has the ipsAuthCredAuthMethod
1158.      set to the OID of ipsAuthMethodChap."
1159.     INDEX { ipsAuthInstIndex, ipsAuthIdentIndex, ipsAuthCredIndex }
1160. ::= { ipsAuthCredChapAttributesTable  1 }
1161.  
1162. IpsAuthCredChapAttributesEntry ::= SEQUENCE {
1163.     ipsAuthCredChapUserName            SnmpAdminString,
1164.     ipsAuthCredChapPassword            SnmpAdminString,
1165.     ipsAuthCredChapRowStatus           RowStatus
1166. }
1167.  
1168. ipsAuthCredChapUserName OBJECT-TYPE
1169.     SYNTAX        SnmpAdminString
1170.     MAX-ACCESS    read-create
1171.     STATUS        current
1172.     DESCRIPTION
1173.         "An octet string containing the CHAP user name for this
1174.      credential."
1175.  
1176.  
1177.  
1178. Bakke, Muchow              Expires August 2002                 [Page 21]
1179.  
1180. Internet Draft                  iSCSI MIB                  February 2002
1181.  
1182.  
1183. ::= { ipsAuthCredChapAttributesEntry 1 }
1184.  
1185. ipsAuthCredChapPassword OBJECT-TYPE
1186.     SYNTAX        SnmpAdminString
1187.     MAX-ACCESS    read-create
1188.     STATUS        current
1189.     DESCRIPTION
1190.         "An octet string containing the password for this
1191.      credential.  If written, it changes the password for
1192.      the credential.  If read, it returns a zero-length
1193.      string."
1194. ::= { ipsAuthCredChapAttributesEntry 2 }
1195.  
1196. ipsAuthCredChapRowStatus OBJECT-TYPE
1197.     SYNTAX        RowStatus
1198.     MAX-ACCESS    read-create
1199.     STATUS        current
1200.     DESCRIPTION
1201.         "This field allows entries to be dynamically added and
1202.      removed from this table via SNMP."
1203. ::= { ipsAuthCredChapAttributesEntry 3 }
1204.  
1205.  
1206. ipsAuthCredSrp OBJECT IDENTIFIER ::= { ipsAuthObjects 9 }
1207.  
1208. -- Credential Srp-Specific Attributes Table
1209.  
1210. ipsAuthCredSrpAttributesTable OBJECT-TYPE
1211.     SYNTAX        SEQUENCE OF IpsAuthCredSrpAttributesEntry
1212.     MAX-ACCESS    not-accessible
1213.     STATUS        current
1214.     DESCRIPTION
1215.         "A list of SRP-specific attributes for credentials that
1216.      have their ipsAuthCredAuthMethod == ipsAuthMethodSrp."
1217. ::= { ipsAuthCredSrp 1 }
1218.  
1219. ipsAuthCredSrpAttributesEntry OBJECT-TYPE
1220.     SYNTAX        IpsAuthCredSrpAttributesEntry
1221.     MAX-ACCESS    not-accessible
1222.     STATUS        current
1223.     DESCRIPTION
1224.         "An entry (row) containing management information
1225.         applicable to a credential which has the ipsAuthCredAuthMethod
1226.      set to the OID of ipsAuthMethodSrp."
1227.     INDEX { ipsAuthInstIndex, ipsAuthIdentIndex, ipsAuthCredIndex }
1228. ::= { ipsAuthCredSrpAttributesTable  1 }
1229.  
1230. IpsAuthCredSrpAttributesEntry ::= SEQUENCE {
1231.  
1232.  
1233.  
1234. Bakke, Muchow              Expires August 2002                 [Page 22]
1235.  
1236. Internet Draft                  iSCSI MIB                  February 2002
1237.  
1238.  
1239.     ipsAuthCredSrpUserName            SnmpAdminString,
1240.     ipsAuthCredSrpPasswordVerifier    SnmpAdminString,
1241.     ipsAuthCredSrpSalt                SnmpAdminString,
1242.     ipsAuthCredSrpRowStatus           RowStatus
1243. }
1244.  
1245. ipsAuthCredSrpUserName OBJECT-TYPE
1246.     SYNTAX        SnmpAdminString
1247.     MAX-ACCESS    read-create
1248.     STATUS        current
1249.     DESCRIPTION
1250.         "An octet string containing the CHAP user name for this
1251.      credential."
1252. ::= { ipsAuthCredSrpAttributesEntry 1 }
1253.  
1254. ipsAuthCredSrpPasswordVerifier OBJECT-TYPE
1255.     SYNTAX        SnmpAdminString
1256.     MAX-ACCESS    read-create
1257.     STATUS        current
1258.     DESCRIPTION
1259.         "An octet string containing the SRP password verifier
1260.      for this credential."
1261. ::= { ipsAuthCredSrpAttributesEntry 2 }
1262.  
1263.  
1264. -- Work: what is the size of Salt?  Should it be an integer?
1265.  
1266. ipsAuthCredSrpSalt OBJECT-TYPE
1267.     SYNTAX        SnmpAdminString
1268.     MAX-ACCESS    read-create
1269.     STATUS        current
1270.     DESCRIPTION
1271.         "An octet string containing the salt value related to
1272.      this credential."
1273. ::= { ipsAuthCredSrpAttributesEntry 3 }
1274.  
1275. ipsAuthCredSrpRowStatus OBJECT-TYPE
1276.     SYNTAX        RowStatus
1277.     MAX-ACCESS    read-create
1278.     STATUS        current
1279.     DESCRIPTION
1280.         "This field allows entries to be dynamically added and
1281.      removed from this table via SNMP."
1282. ::= { ipsAuthCredSrpAttributesEntry 4 }
1283.  
1284.  
1285. ipsAuthCredSpkm OBJECT IDENTIFIER ::= { ipsAuthObjects 10 }
1286.  
1287.  
1288.  
1289.  
1290. Bakke, Muchow              Expires August 2002                 [Page 23]
1291.  
1292. Internet Draft                  iSCSI MIB                  February 2002
1293.  
1294.  
1295. -- Credential Spkm-Specific Attributes Table
1296.  
1297. ipsAuthCredSpkmAttributesTable OBJECT-TYPE
1298.     SYNTAX        SEQUENCE OF IpsAuthCredSpkmAttributesEntry
1299.     MAX-ACCESS    not-accessible
1300.     STATUS        current
1301.     DESCRIPTION
1302.         "A list of SPKM-specific attributes for credentials that
1303.      have their ipsAuthCredAuthMethod == ipsAuthMethodSpkm."
1304. ::= { ipsAuthCredSpkm 1 }
1305.  
1306. ipsAuthCredSpkmAttributesEntry OBJECT-TYPE
1307.     SYNTAX        IpsAuthCredSpkmAttributesEntry
1308.     MAX-ACCESS    not-accessible
1309.     STATUS        current
1310.     DESCRIPTION
1311.         "An entry (row) containing management information
1312.         applicable to a credential which has the ipsAuthCredAuthMethod
1313.      set to the OID of ipsAuthMethodSpkm."
1314.     INDEX { ipsAuthInstIndex, ipsAuthIdentIndex, ipsAuthCredIndex }
1315. ::= { ipsAuthCredSpkmAttributesTable  1 }
1316.  
1317. -- Work: Do we need to split out the cert identity here, or in
1318. -- the certificate object?
1319.  
1320. IpsAuthCredSpkmAttributesEntry ::= SEQUENCE {
1321.     ipsAuthCredSpkmPeerIdentity        OCTET STRING,
1322.     ipsAuthCredSpkmPeerCert            Unsigned32,
1323.     ipsAuthCredSpkmMyCert              Unsigned32,
1324.     ipsAuthCredSpkmRowStatus           RowStatus
1325. }
1326.  
1327. -- Work: Should this go here, or with the cert, or both?
1328.  
1329. ipsAuthCredSpkmPeerIdentity OBJECT-TYPE
1330.     SYNTAX        OCTET STRING
1331.     MAX-ACCESS    read-create
1332.     STATUS        current
1333.     DESCRIPTION
1334.         "The identity to be authenticated by the public
1335.      key certificate.  If ipsAuthCredSpkmPeerCert is not
1336.      zero, this identity much match the XXXXXXX attribute
1337.      within the certificate referenced by PeerCert."
1338. ::= { ipsAuthCredSpkmAttributesEntry 1 }
1339.  
1340. ipsAuthCredSpkmPeerCert OBJECT-TYPE
1341.     SYNTAX        Unsigned32 (1..4294967295)
1342.     MAX-ACCESS    read-create
1343.  
1344.  
1345.  
1346. Bakke, Muchow              Expires August 2002                 [Page 24]
1347.  
1348. Internet Draft                  iSCSI MIB                  February 2002
1349.  
1350.  
1351.     STATUS        current
1352.     DESCRIPTION
1353.         "The index of the ipsAuthCertificateEntry that contains
1354.      the certificate for the peer that is expected for
1355.      this credential to be authenticated, or zero if this
1356.      attribute is not used."
1357. ::= { ipsAuthCredSpkmAttributesEntry 2 }
1358.  
1359. -- Work: I'm not sure that the following belongs here, yet.
1360.  
1361. ipsAuthCredSpkmMyCert OBJECT-TYPE
1362.     SYNTAX        Unsigned32 (1..4294967295)
1363.     MAX-ACCESS    read-create
1364.     STATUS        current
1365.     DESCRIPTION
1366.         "The index of the ipsAuthCertificateEntry that contains
1367.      the certificate that will be provided to the other
1368.      system when this this credential to be authenticated,
1369.      or zero if this attribute is not used."
1370. ::= { ipsAuthCredSpkmAttributesEntry 3 }
1371.  
1372. ipsAuthCredSpkmRowStatus OBJECT-TYPE
1373.     SYNTAX        RowStatus
1374.     MAX-ACCESS    read-create
1375.     STATUS        current
1376.     DESCRIPTION
1377.         "This field allows entries to be dynamically added and
1378.      removed from this table via SNMP."
1379. ::= { ipsAuthCredSpkmAttributesEntry 4 }
1380.  
1381.  
1382. ipsAuthCredKerberos OBJECT IDENTIFIER ::= { ipsAuthObjects 11 }
1383.  
1384. -- Credential Kerberos-Specific Attributes Table
1385.  
1386. ipsAuthCredKerbAttributesTable OBJECT-TYPE
1387.     SYNTAX        SEQUENCE OF IpsAuthCredKerbAttributesEntry
1388.     MAX-ACCESS    not-accessible
1389.     STATUS        current
1390.     DESCRIPTION
1391.         "A list of SRP-specific attributes for credentials that
1392.      have their ipsAuthCredAuthMethod == ipsAuthMethodKerberos."
1393. ::= { ipsAuthCredKerberos 1 }
1394.  
1395. ipsAuthCredKerbAttributesEntry OBJECT-TYPE
1396.     SYNTAX        IpsAuthCredKerbAttributesEntry
1397.     MAX-ACCESS    not-accessible
1398.     STATUS        current
1399.  
1400.  
1401.  
1402. Bakke, Muchow              Expires August 2002                 [Page 25]
1403.  
1404. Internet Draft                  iSCSI MIB                  February 2002
1405.  
1406.  
1407.     DESCRIPTION
1408.         "An entry (row) containing management information
1409.         applicable to a credential which has the ipsAuthCredAuthMethod
1410.      set to the OID of ipsAuthMethodKerberos."
1411.     INDEX { ipsAuthInstIndex, ipsAuthIdentIndex, ipsAuthCredIndex }
1412. ::= { ipsAuthCredKerbAttributesTable  1 }
1413.  
1414. IpsAuthCredKerbAttributesEntry ::= SEQUENCE {
1415.     ipsAuthCredKerbAttribute           SnmpAdminString,
1416.     ipsAuthCredKerbRowStatus           RowStatus
1417. }
1418.  
1419. -- Work:  The following is a placeholder attribute, since I
1420. -- haven't figured out what to configure for Kerberos.
1421.  
1422. ipsAuthCredKerbAttribute OBJECT-TYPE
1423.     SYNTAX        SnmpAdminString
1424.     MAX-ACCESS    read-create
1425.     STATUS        current
1426.     DESCRIPTION
1427.         "An octet string containing a Kerberos attribute
1428.      for this credential."
1429. ::= { ipsAuthCredKerbAttributesEntry 1 }
1430.  
1431. ipsAuthCredKerbRowStatus OBJECT-TYPE
1432.     SYNTAX        RowStatus
1433.     MAX-ACCESS    read-create
1434.     STATUS        current
1435.     DESCRIPTION
1436.         "This field allows entries to be dynamically added and
1437.      removed from this table via SNMP."
1438. ::= { ipsAuthCredKerbAttributesEntry 2 }
1439.  
1440.  
1441.  
1442.  
1443. ------------------------------------------------------------------------
1444. -- Notifications
1445.  
1446. -- There are no notifications necessary in this MIB.
1447.  
1448. ------------------------------------------------------------------------
1449.  
1450. -- Conformance Statements
1451.  
1452. ipsAuthGroups OBJECT IDENTIFIER ::= { ipsAuthConformance 1 }
1453.  
1454. ipsAuthInstanceAttributesGroup OBJECT-GROUP
1455.  
1456.  
1457.  
1458. Bakke, Muchow              Expires August 2002                 [Page 26]
1459.  
1460. Internet Draft                  iSCSI MIB                  February 2002
1461.  
1462.  
1463.     OBJECTS {
1464.         ipsAuthInstDescr
1465.     }
1466.     STATUS current
1467.     DESCRIPTION
1468.         "A collection of objects providing information about
1469.      authentication instances."
1470. ::= { ipsAuthGroups 1 }
1471.  
1472. ipsAuthIdentCertAttributesGroup OBJECT-GROUP
1473.     OBJECTS {
1474.     ipsAuthCertDescription,
1475.     ipsAuthCert,
1476.     ipsAuthCertIdentity,
1477.     ipsAuthCertRowStatus
1478.     }
1479.     STATUS current
1480.     DESCRIPTION
1481.         "A collection of objects providing information about
1482.      certicates within an authentication instance."
1483. ::= { ipsAuthGroups 2 }
1484.  
1485. ipsAuthIdentAttributesGroup OBJECT-GROUP
1486.     OBJECTS {
1487.         ipsAuthIdentDescription,
1488.     ipsAuthIdentRowStatus
1489.     }
1490.     STATUS current
1491.     DESCRIPTION
1492.         "A collection of objects providing information about
1493.      user identities within an authentication instance."
1494. ::= { ipsAuthGroups 3 }
1495.  
1496. ipsAuthIdentNameAttributesGroup OBJECT-GROUP
1497.     OBJECTS {
1498.     ipsAuthIdentName,
1499.     ipsAuthIdentNameRowStatus
1500.     }
1501.     STATUS current
1502.     DESCRIPTION
1503.         "A collection of objects providing information about
1504.      user names within user identities within an authentication
1505.      instance."
1506. ::= { ipsAuthGroups 4 }
1507.  
1508. ipsAuthIdentAddrAttributesGroup OBJECT-GROUP
1509.     OBJECTS {
1510.     ipsAuthIdentAddrType,
1511.  
1512.  
1513.  
1514. Bakke, Muchow              Expires August 2002                 [Page 27]
1515.  
1516. Internet Draft                  iSCSI MIB                  February 2002
1517.  
1518.  
1519.     ipsAuthIdentAddrStart,
1520.     ipsAuthIdentAddrEnd,
1521.     ipsAuthIdentAddrMask,
1522.     ipsAuthIdentAddrRowStatus
1523.     }
1524.     STATUS current
1525.     DESCRIPTION
1526.         "A collection of objects providing information about
1527.      address ranges within user identities within an authentication
1528.      instance."
1529. ::= { ipsAuthGroups 5 }
1530.  
1531. ipsAuthIdentCredAttributesGroup OBJECT-GROUP
1532.     OBJECTS {
1533.     ipsAuthCredAuthMethod,
1534.     ipsAuthCredUserName,
1535.     ipsAuthCredRowStatus
1536.     }
1537.     STATUS current
1538.     DESCRIPTION
1539.         "A collection of objects providing information about
1540.      credentials within user identities within an authentication
1541.      instance."
1542. ::= { ipsAuthGroups 6 }
1543.  
1544. ipsAuthIdentChapAttrGroup OBJECT-GROUP
1545.     OBJECTS {
1546.     ipsAuthCredChapUserName,
1547.     ipsAuthCredChapPassword,
1548.     ipsAuthCredChapRowStatus
1549.     }
1550.     STATUS current
1551.     DESCRIPTION
1552.         "A collection of objects providing information about CHAP
1553.      credentials within user identities within an authentication
1554.      instance."
1555. ::= { ipsAuthGroups 7 }
1556.  
1557. ipsAuthIdentSrpAttrGroup OBJECT-GROUP
1558.     OBJECTS {
1559.     ipsAuthCredSrpUserName,
1560.     ipsAuthCredSrpPasswordVerifier,
1561.     ipsAuthCredSrpSalt,
1562.     ipsAuthCredSrpRowStatus
1563.     }
1564.     STATUS current
1565.     DESCRIPTION
1566.         "A collection of objects providing information about SRP
1567.  
1568.  
1569.  
1570. Bakke, Muchow              Expires August 2002                 [Page 28]
1571.  
1572. Internet Draft                  iSCSI MIB                  February 2002
1573.  
1574.  
1575.      credentials within user identities within an authentication
1576.      instance."
1577. ::= { ipsAuthGroups 8 }
1578.  
1579. ipsAuthIdentSpkmAttrGroup OBJECT-GROUP
1580.     OBJECTS {
1581.     ipsAuthCredSpkmPeerIdentity,
1582.     ipsAuthCredSpkmPeerCert,
1583.     ipsAuthCredSpkmMyCert,
1584.     ipsAuthCredSpkmRowStatus
1585.     }
1586.     STATUS current
1587.     DESCRIPTION
1588.         "A collection of objects providing information about SPKM
1589.      credentials within user identities within an authentication
1590.      instance."
1591. ::= { ipsAuthGroups 9 }
1592.  
1593. ipsAuthIdentKerberosAttrGroup OBJECT-GROUP
1594.     OBJECTS {
1595.     ipsAuthCredKerbAttribute,
1596.     ipsAuthCredKerbRowStatus
1597.     }
1598.     STATUS current
1599.     DESCRIPTION
1600.         "A collection of objects providing information about Kerberos
1601.      credentials within user identities within an authentication
1602.      instance."
1603. ::= { ipsAuthGroups 10 }
1604.  
1605. -- Work need to add the rest of the groups
1606.  
1607. ------------------------------------------------------------------------
1608.  
1609. ipsAuthCompliances OBJECT IDENTIFIER ::= { ipsAuthConformance 2 }
1610.  
1611. ipsAuthComplianceV1 MODULE-COMPLIANCE
1612.     STATUS current
1613.     DESCRIPTION
1614.         "Initial version of compliance statement based on
1615.         initial version of MIB.
1616.  
1617.      The Instance and Identity groups are mandatory;
1618.      at least one of the other groups (Name, Address,
1619.      Credential, Certificate) is also mandatory for
1620.      any given implementation."
1621.     MODULE       -- this module
1622.     MANDATORY-GROUPS {
1623.  
1624.  
1625.  
1626. Bakke, Muchow              Expires August 2002                 [Page 29]
1627.  
1628. Internet Draft                  iSCSI MIB                  February 2002
1629.  
1630.  
1631.         ipsAuthInstanceAttributesGroup,
1632.         ipsAuthIdentAttributesGroup
1633.     }
1634.  
1635.     -- Conditionally mandatory groups to be included with
1636.     -- the mandatory groups when necessary.
1637.  
1638.     GROUP ipsAuthIdentNameAttributesGroup
1639.     DESCRIPTION
1640.         "This group is mandatory for all implementations
1641.      that make use of unique identity names."
1642.  
1643.     GROUP ipsAuthIdentAddrAttributesGroup
1644.     DESCRIPTION
1645.         "This group is mandatory for all implementations
1646.      that use addresses to help authenticate identities."
1647.  
1648.     GROUP ipsAuthIdentCredAttributesGroup
1649.     DESCRIPTION
1650.         "This group is mandatory for all implementations
1651.      that use credentials to help authenticate identities."
1652.  
1653.     GROUP ipsAuthIdentCertAttributesGroup
1654.     DESCRIPTION
1655.         "This group is mandatory for all implementations
1656.      that make use of public key certificates."
1657.  
1658. ::= { ipsAuthCompliances 1 }
1659.  
1660. END
1661.  
1662.  
1663.  
1664. 8.  Security Considerations
1665.  
1666.    WORK: Need some text about all the bad things that can happen when
1667.    someone gains write access to this MIB.
1668.  
1669.    WORK: Considerations for read only.
1670.  
1671.    SNMPv1 by itself is not a secure environment.  Even if the network
1672.    itself is secure (for example by using IPSec), even then, there is no
1673.    control as to who on the secure network is allowed to access and
1674.    GET/SET (read/change/create/delete) the objects in this MIB.
1675.  
1676.    It is recommended that the implementers consider the security
1677.    features as provided by the SNMPv3 framework.  Specifically, the use
1678.    of the User-based Security Model RFC 2574 [RFC2574] and the View-
1679.  
1680.  
1681.  
1682. Bakke, Muchow              Expires August 2002                 [Page 30]
1683.  
1684. Internet Draft                  iSCSI MIB                  February 2002
1685.  
1686.  
1687.    based Access Control Model RFC 2575 [RFC2575] is recommended.
1688.  
1689.    It is then a customer/user responsibility to ensure that the SNMP
1690.    entity giving access to an instance of this MIB, is properly
1691.    configured to give access to the objects only to those principals
1692.    (users) that have legitimate rights to indeed GET or SET
1693.    (change/create/delete) them.
1694.  
1695. 9.  References
1696.  
1697. [RFC2571]   Harrington, D., Presuhn, R., and B. Wijnen, "An Architecture
1698.             for Describing SNMP Management Frameworks", RFC 2571, April
1699.             1999.
1700.  
1701. [RFC1155]   Rose, M., and K. McCloghrie, "Structure and Identification
1702.             of Management Information for TCP/IP-based Internets", STD
1703.             16, RFC 1155, May 1990.
1704.  
1705. [RFC1212]   Rose, M., and K. McCloghrie, "Concise MIB Definitions", STD
1706.             16, RFC 1212, March 1991.
1707.  
1708. [RFC1215]   M. Rose, "A Convention for Defining Traps for use with the
1709.             SNMP", RFC 1215, March 1991.
1710.  
1711. [RFC2578]   McCloghrie, K., Perkins, D., Schoenwaelder, J., Case, J.,
1712.             Rose, M., and S. Waldbusser, "Structure of Management
1713.             Information Version 2 (SMIv2)", STD 58, RFC 2578, April
1714.             1999.
1715.  
1716. [RFC2579]   McCloghrie, K., Perkins, D., Schoenwaelder, J., Case, J.,
1717.             Rose, M., and S. Waldbusser, "Textual Conventions for
1718.             SMIv2", STD 58, RFC 2579, April 1999.
1719.  
1720. [RFC2580]   McCloghrie, K., Perkins, D., Schoenwaelder, J., Case, J.,
1721.             Rose, M., and S. Waldbusser, "Conformance Statements for
1722.             SMIv2", STD 58, RFC 2580, April 1999.
1723.  
1724. [RFC1157]   Case, J., Fedor, M., Schoffstall, M., and J. Davin, "Simple
1725.             Network Management Protocol", STD 15, RFC 1157, May 1990.
1726.  
1727. [RFC1901]   Case, J., McCloghrie, K., Rose, M., and S. Waldbusser,
1728.             "Introduction to Community-based SNMPv2", RFC 1901, January
1729.             1996.
1730.  
1731. [RFC1906]   Case, J., McCloghrie, K., Rose, M., and S. Waldbusser,
1732.             "Transport Mappings for Version 2 of the Simple Network
1733.             Management Protocol (SNMPv2)", RFC 1906, January 1996.
1734.  
1735.  
1736.  
1737.  
1738. Bakke, Muchow              Expires August 2002                 [Page 31]
1739.  
1740. Internet Draft                  iSCSI MIB                  February 2002
1741.  
1742.  
1743. [RFC2572]   Case, J., Harrington D., Presuhn R., and B. Wijnen, "Message
1744.             Processing and Dispatching for the Simple Network Management
1745.             Protocol (SNMP)", RFC 2572, April 1999.
1746.  
1747. [RFC2574]   Blumenthal, U., and B. Wijnen, "User-based Security Model
1748.             (USM) for version 3 of the Simple Network Management
1749.             Protocol (SNMPv3)", RFC 2574, April 1999.
1750.  
1751. [RFC1905]   Case, J., McCloghrie, K., Rose, M., and S. Waldbusser,
1752.             "Protocol Operations for Version 2 of the Simple Network
1753.             Management Protocol (SNMPv2)", RFC 1905, January 1996.
1754.  
1755. [RFC2573]   Levi, D., Meyer, P., and B. Stewart, "SNMPv3 Applications",
1756.             RFC 2573, April 1999.
1757.  
1758. [RFC2575]   Wijnen, B., Presuhn, R., and K. McCloghrie, "View-based
1759.             Access Control Model (VACM) for the Simple Network
1760.             Management Protocol (SNMP)", RFC 2575, April 1999.
1761.  
1762. [RFC2570]   Case, J., Mundy, R., Partain, D., and B. Stewart,
1763.             "Introduction to Version 3 of the Internet-standard Network
1764.             Management Framework", RFC 2570, April 1999.
1765.  
1766. [RFC2012]   McCloghrie, K., "SNMPv2 Management Information Base for the
1767.             Transmission Control Protocol using SMIv2", RFC 2012,
1768.             November 1996.
1769.  
1770. [RFC2851]   Daniele, M., et. al., "Textual Conventions for Internet
1771.             Network Addresses", RFC 2851, June 2000.
1772.  
1773. [IPV6MIB]   Daniele, M., et. al., "Textual Conventions for Internet
1774.             Network Addresses", draft-ietf-ops-rfc2851-update-06.txt,
1775.             February 2001
1776.  
1777. [IANA-AF]   IANA, "WORK: something about assigned enum types for address
1778.             families", http://www.iana.org/something.
1779.  
1780. [RFC1213]   K. McCloghrie, M.T. Rose, "Management Information Base for
1781.             Network Management of TCP/IP-based internets:MIB-II", March
1782.             1991.
1783.  
1784. [RFC2011]   K. McCloghrie, "SNMPv2 Management Information Base for the
1785.             Internet Protocol using SMIv2", November 1996.
1786.  
1787. [RFC1994]   W. Simpson, "PPP Challenge Handshake Authentication Protocol
1788.             (CHAP)", August 1996.
1789.  
1790.  
1791.  
1792.  
1793.  
1794. Bakke, Muchow              Expires August 2002                 [Page 32]
1795.  
1796. Internet Draft                  iSCSI MIB                  February 2002
1797.  
1798.  
1799. [RFC1510]   J. Kohl, C. Neuman, "The Kerberos Network Authentication
1800.             Service (V5)", September 1993.
1801.  
1802. [RFC2025]   C. Adams, "The Simple Public-Key GSS-API Mechanism (SPKM)",
1803.             October 1996.
1804.  
1805. [RFC2945]   T. Wu, "The SRP Authentication and Key Exchange System",
1806.             September 2000.
1807.  
1808. [RFC2465]   D. Haskin, S. Onishi, "Management Information Base for IP
1809.             Version 6: Textual Conventions and General Group", December
1810.             1998.
1811.  
1812. [ISCSI]     Satran, J., et. al., "iSCSI", draft-ietf-ips-iSCSI-10,
1813.             Febrary 2002.
1814.  
1815. [RFC1737]   K. Sollins, L. Masinter, "Functional Requirements for
1816.             Uniform Resource Names", December 1994.
1817.  
1818. [X.509]     ITU-T Recommendation X.509 (1997 E), "Information Technology
1819.             - Open Systems Interconnection - The Directory:
1820.             Authentication Framework", June 1997.
1821.  
1822. 10.  Authors' Addresses
1823.  
1824.        Mark Bakke
1825.        Postal: Cisco Systems, Inc
1826.        6450 Wedgwood Road, Suite 130
1827.        Maple Grove, MN
1828.        USA 55311
1829.  
1830.        Tel: +1 763-398-1000
1831.        Fax: +1 763-398-1001
1832.  
1833.        E-mail: mbakke@cisco.com
1834.  
1835.        Jim Muchow
1836.        Postal: Cisco Systems, Inc
1837.        6450 Wedgwood Road, Suite 130
1838.        Maple Grove, MN
1839.        USA 55311
1840.  
1841.        Tel: +1 763-398-1000
1842.        Fax: +1 763-398-1001
1843.  
1844.        E-mail: jmuchow@cisco.com"
1845.  
1846.  
1847.  
1848.  
1849.  
1850. Bakke, Muchow              Expires August 2002                 [Page 33]
1851.