JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Administration d'Oracle Solaris : Périphériques et systèmes de fichiers     Oracle Solaris 11 Information Library (Fran├žais)
search filter icon
search icon

Informations document

A propos de ce manuel

1.  Gestion des médias amovibles (présentation)

2.  Gestion des médias amovibles (tâches)

3.  Accès aux médias amovibles (tâches)

4.  Gravure de CD et DVD (tâches)

5.  Gestion des périphériques (présentation/tâches)

6.  Configuration dynamique des périphériques (tâches)

7.  Utilisation de périphériques USB (présentation)

8.  Utilisation de périphériques USB (tâches)

9.  Utilisation de périphériques InfiniBand (présentation/tâches)

10.  Gestion des disques (présentation)

11.  Administration des disques (tâches)

12.  Système SPARC : Configuration des disques (tâches)

13.  Système x86 : Configuration des disques (tâches)

14.  Configuration des périphériques de stockage avec COMSTAR

COMSTAR et la technologie iSCSI (présentation)

Configuration logicielle et matérielle requise pour COMSTAR

Configuration de COMSTAR (liste des tâches)

Configuration de COMSTAR

Terminologie COMSTAR

Configuration d'une détection statique ou dynamique de la cible

Configuration des périphériques iSCSI avec COMSTAR

Activation du service STMF

Sauvegarde et restauration d'une configuration COMSTAR

Création d'un LUN iSCSI

Création de la cible iSCSI

Configuration d'un HCA IB pour iSER

Configuration d'un initiateur iSCSI

Suppression des cibles iSCSI détectées

Création de groupes de portails cible iSCSI

Utilisation des TPG avec iSER

Création d'un groupe de portails cible pour les cibles iSCSI

Accès aux disques iSCSI

Mise à disposition des unités logiques SCSI

Mise à disposition d'une unité logique pour tous les systèmes

Restriction de l'accès des LUN aux systèmes sélectionnés

Configuration des périphériques Fibre Channel avec COMSTAR

Configuration des ports Fibre Channel pour COMSTAR

Affichage des liaisons de port FC existantes

Définition de tous les ports FC sur un mode spécifique

Réglage des ports FC sélectionnés sur le mode initiateur ou cible

Mise à disposition des unités logiques pour FC et FCoE

Mise à disposition des unités logiques pour FC et FCoE

Configuration des périphériques FCoE avec COMSTAR

Configuration des ports FCoE

Activation de 802.3x PAUSE et des trames Jumbo sur l'interface Ethernet

Création des ports cible FCoE

Vérification du bon fonctionnement d'un port cible FCoE

Suppression des ports cible FCoE

Configuration des périphériques SRP avec COMSTAR

Utilisation des vues COMSTAR avec SRP

Activation du service cible SRP

Vérification du statut de la cible SRP

Configuration de l'authentification dans le réseau de stockage iSCSI

Configuration de l'authentification CHAP pour l'initiateur iSCSI

Configuration de l'authentification CHAP pour la cible iSCSI

Utilisation d'un serveur RADIUS tiers pour simplifier la gestion CHAP dans votre configuration iSCSI

Configuration d'un serveur RADIUS pour la cible iSCSI

Configuration d'un serveur RADIUS pour l'initiateur iSCSI

Messages d'erreur d'Oracle Solaris iSCSI et du serveur RADIUS

Configuration de périphériques à chemins d'accès multiples iSCSI dans Oracle Solaris

Activation de plusieurs sessions iSCSI pour une cible

Surveillance de la configuration iSCSI

Affichage des informations de configuration iSCSI

Modification des paramètres de l'initiateur et de la cible iSCSI

Réglage des paramètres iSCSI

Réglage des paramètres iSCSI

Modification des paramètres de l'initiateur et de la cible iSCSI

Résolution des problèmes de configuration iSCSI

Aucune connexion du système local à la cible iSCSI

Résolution des problèmes de connexion iSCSI

Périphérique iSCSI ou disque non disponible sur le système local

Résolution de l'indisponibilité du périphérique iSCSI ou disque

Utilisation du masquage LUN avec la méthode de détection iSNS

Messages d'erreur iSCSI généraux

15.  Configuration et gestion du service Oracle Solaris iSNS (Internet Storage Name Service)

16.  L'utilitaire format (référence)

17.  Gestion des systèmes de fichiers (présentation)

18.  Création et montage de systèmes de fichiers (tâches)

19.  Extension de l'espace de swap (tâches)

20.  Copie de fichiers et de systèmes de fichiers (tâches)

21.  Gestion des lecteurs de bande (tâches)

Index

Configuration de l'authentification dans le réseau de stockage iSCSI

La configuration de l'authentification pour vos périphériques iSCSI est facultative.

Dans un environnement sécurisé, l'authentification n'est pas nécessaire car seuls les initiateurs de confiance peuvent accéder aux cibles.

Dans un environnement moins sécurisé, la cible ne peut pas déterminer si une demande de connexion provient vraiment d'un hôte donné. Dans ce cas, la cible peut authentifier un initiateur à l'aide du protocole CHAP (Challenge-Handshake Authentication Protocol).

L'authentification CHAP utilise la notion de demande et de réponse, ce qui signifie que la cible demande à l'initiateur de prouver son identité. Pour que la méthode de question/réponse fonctionne, la cible doit connaître la clé secrète de l'initiateur, et l'initiateur doit être configuré de manière à répondre à une question. Pour obtenir des instructions sur la configuration de la clé secrète sur la baie, reportez-vous à la documentation du fournisseur de la baie.

iSCSI prend en charge l'authentification unidirectionnelle et bidirectionnelle comme suit :

Configuration de l'authentification CHAP pour l'initiateur iSCSI

Cette procédure suppose que vous êtes connecté au système local d'où vous souhaitez accéder en toute sécurité au périphérique cible iSCSI configuré.

Vous pouvez simplifier la gestion de la clé secrète CHAP à l'aide d'un serveur RADIUS tiers, qui agit comme un service d'authentification centralisé. Lorsque vous utilisez RADIUS, le serveur RADIUS stocke l'ensemble des noms de noeud et les clés secrètes CHAP correspondantes. Le système effectuant l'authentification transmet le nom de noeud du demandeur et le code secret fourni au serveur RADIUS. Le serveur RADIUS vérifie que la clé secrète est la clé appropriée pour authentifier le nom de noeud spécifié. iSCSI et iSER prennent tous deux en charge l'utilisation d'un serveur RADIUS.

Pour plus d'informations sur l'utilisation d'un serveur RADIUS tiers, reportez-vous à la section Utilisation d'un serveur RADIUS tiers pour simplifier la gestion CHAP dans votre configuration iSCSI.

  1. Connectez-vous en tant qu'administrateur.

    Pour plus d'informations, reportez-vous à la section Procédure d’obtention des droits d’administration du manuel Administration d’Oracle Solaris : services de sécurité.

  2. Choisissez entre une configuration CHAP unidirectionnelle ou bidirectionnelle.
    • L'authentification unidirectionnelle, qui est la méthode par défaut, permet à la cible de valider l'initiateur. Suivez les étapes 3 à 5 uniquement.

    • L'authentification bidirectionnelle ajoute un second niveau de sécurité en permettant à l'initiateur d'authentifier la cible. Suivez les étapes 3 à 9.

  3. CHAP unidirectionnel : définissez la clé secrète sur l'initiateur.

    La commande suivante lance une boîte de dialogue qui permet de définir la clé secrète CHAP :

    initiator# iscsiadm modify initiator-node --CHAP-secret
    Enter CHAP secret: ************
    Re-enter secret: ************
  4. (Facultatif) CHAP unidirectionnel : définissez le nom d'utilisateur CHAP sur l'initiateur.

    Par défaut, le nom d'utilisateur CHAP de l'initiateur est défini sur le nom de noeud de l'initiateur.

    Utilisez la commande suivante pour utiliser le nom d'utilisateur CHAP de votre initiateur :

    initiator# iscsiadm modify initiator-node --CHAP-name new-CHAP-name
  5. CHAP unidirectionnel : activez l'authentification CHAP sur l'initiateur.
    initiator# iscsiadm modify initiator-node --authentication CHAP

    CHAP requiert à la fois un nom d'utilisateur et un mot de passe pour le noeud d'initiateur. Le nom d'utilisateur est généralement utilisé par la cible pour rechercher la clé secrète associée au nom d'utilisateur spécifié.

  6. Choisissez l'une des opérations suivantes pour activer ou désactiver le protocole CHAP bidirectionnel.
    • Activez le protocole CHAP bidirectionnel pour établir des connexions avec la cible.

      initiator# iscsiadm modify target-param -B enable target-iqn
    • Désactivez le protocole CHAP bidirectionnel.

      initiator# iscsiadm modify target-param -B disable target-iqn
  7. CHAP bidirectionnel : définissez la méthode d'authentification sur CHAP pour la cible.
    initiator# iscsiadm modify target-param --authentication CHAP target-iqn
  8. CHAP bidirectionnel : définissez la clé secrète du périphérique cible qui identifie la cible.

    La commande suivante lance une boîte de dialogue qui permet de définir la clé secrète CHAP :

    initiator# iscsiadm modify target-param --CHAP-secret target-iqn
  9. CHAP bidirectionnel : si la cible utilise un autre nom d'utilisateur CHAP, définissez le nom CHAP qui identifie la cible.

    Par défaut, le nom CHAP de la cible est réglé sur le nom de la cible.

    Vous pouvez exécuter la commande suivante pour modifier le nom CHAP de la cible :

    initiator# iscsiadm modify target-param --CHAP-name target-CHAP-name

Configuration de l'authentification CHAP pour la cible iSCSI

Cette procédure suppose que vous êtes connecté au système local qui contient les cibles iSCSI.

  1. Connectez-vous en tant qu'administrateur.
  2. Déterminez si vous souhaitez configurer le protocole CHAP unidirectionnel ou bidirectionnel.
    • L'authentification unidirectionnelle est la méthode par défaut. Suivez les étapes 3 à 5 uniquement.

    • Pour l'authentification bidirectionnelle. Suivez les étapes 3 à 7.

  3. CHAP unidirectionnel/bidirectionnel : configurez la cible de façon à exiger l'identification des initiateurs à l'aide de CHAP.
    target# itadm modify-target -a chap target-iqn
  4. CHAP unidirectionnel/bidirectionnel : créez un contexte d'initiateur décrivant l'initiateur.

    Créez le contexte d'initiateur à l'aide du nom de noeud complet et de la clé secrète CHAP de l'initiateur.

    target# itadm create-initiator -s initiator-iqn
    Enter CHAP secret: ************
    Re-enter secret: ************
  5. CHAP unidirectionnel/bidirectionnel : si l'initiateur utilise un autre nom CHAP, configurez le contexte d'initiateur avec cet autre nom.
    target# itadm modify-initiator -u initiator-CHAP-name initiator-iqn
  6. CHAP bidirectionnel : définissez la clé secrète du périphérique cible qui identifie la cible.
    target# itadm modify-target -s target-iqn
    Enter CHAP secret: ************
    Re-enter secret: ************
  7. (Facultatif) CHAP bidirectionnel : si la cible utilise un nom d'utilisateur CHAP différent du nom de noeud cible (iqn), modifiez la cible.
    target# itadm modify-target -u target-CHAP-name target-iqn

Utilisation d'un serveur RADIUS tiers pour simplifier la gestion CHAP dans votre configuration iSCSI

Vous pouvez utiliser un serveur RADIUS tiers qui agit comme un service d'authentification centralisé pour simplifier la gestion des clés secrètes CHAP. Avec cette méthode, il est recommandé d'utiliser le nom CHAP par défaut pour chaque noeud d'initiateur. Dans la plupart des cas, lorsque tous les initiateurs utilisent le nom CHAP par défaut, vous n'avez pas besoin de créer un contexte d'initiateur sur la cible.

Configuration d'un serveur RADIUS pour la cible iSCSI

Cette procédure suppose que vous êtes connecté au système local d'où vous souhaitez accéder en toute sécurité au périphérique cible iSCSI configuré.

  1. Connectez-vous en tant qu'administrateur.
  2. Configurez le noeud d'initiateur avec l'adresse IP et le port du serveur RADIUS.

    Le port par défaut est 1812. Cette configuration s'effectue une fois pour toutes les cibles iSCSI du système cible.

    initiator# itadm modify-defaults -r RADIUS-server-IP-address
    Enter RADIUS secret: ************
    Re-enter secret: ************
  3. Configurez la clé secrète partagée qui sert à la communication entre le système cible et le serveur RADIUS.
    initiator# itadm modify-defaults -d
    Enter RADIUS secret: ************
    Re-enter secret: ************
  4. Configurez le système cible pour exiger l'authentification RADIUS.

    Cette configuration peut être effectuée pour une cible spécifique ou en tant que valeur par défaut pour toutes les cibles.

    initiator# itadm modify-target -a radius target-iqn
  5. Configurez le serveur RADIUS avec les composants suivants :
    • L'identité du noeud cible (par exemple, son adresse IP)

    • La clé secrète partagée que le noeud cible utilise pour communiquer avec le serveur RADIUS

    • Le nom CHAP de l'initiateur (par exemple, son nom iqn) et la clé secrète de chaque initiateur à authentifier

Configuration d'un serveur RADIUS pour l'initiateur iSCSI

Vous pouvez utiliser un serveur RADIUS tiers qui agit comme un service d'authentification centralisé pour simplifier la gestion des clés secrètes CHAP. Cette configuration n'est utile que lorsque l'initiateur demande une authentification CHAP bidirectionnelle. Vous devez toujours spécifier la clé secrète CHAP de l'initiateur, mais il n'est pas obligatoire d'indiquer la clé secrète CHAP de chaque cible d'un initiateur lorsque vous utilisez l'authentification bidirectionnelle avec un serveur RADIUS. RADIUS peut être configuré indépendamment sur l'initiateur ou la cible. L'initiateur et la cible n'ont pas à utiliser RADIUS.

  1. Connectez-vous en tant qu'administrateur.
  2. Configurez le noeud d'initiateur avec l'adresse IP et le port du serveur RADIUS.

    Le port par défaut est 1812.

    # iscsiadm modify initiator-node --radius-server ip-address:1812
  3. Configurez le noeud d'initiateur avec la clé secrète partagée du serveur RADIUS.

    Le serveur RADIUS doit être configuré avec une clé secrète partagée pour iSCSI pour interagir avec le serveur.

    # iscsiadm modify initiator-node --radius-shared-secret
    Enter secret:
    Re-enter secret
  4. Activez l'utilisation du serveur RADIUS.
    # iscsiadm modify initiator-node --radius-access enable
  5. Configurez les autres aspects de l'authentification CHAP bidirectionnelle.
    # iscsiadm modify initiator-node --authentication CHAP
    # iscsiadm modify target-param --bi-directional-authentication enable target-iqn
    # iscsiadm modify target-param --authentication CHAP target-iqn
  6. Configurez le serveur RADIUS avec les composants suivants :
    • L'identité de ce noeud (par exemple, son adresse IP)

    • La clé secrète partagée que ce noeud utilise pour communiquer avec le serveur RADIUS

    • Le nom CHAP de la cible (par exemple, son nom iqn) et la clé secrète de chaque cible à authentifier

Messages d'erreur d'Oracle Solaris iSCSI et du serveur RADIUS

Cette section décrit les messages d'erreur liés à la configuration d'Oracle Solaris iSCSI et d'un serveur RADIUS, ainsi que les solutions de restauration possibles.

empty RADIUS shared secret

Origine : Le serveur RADIUS est activé sur l'initiateur, mais la clé secrète partagée RADIUS n'est pas définie.

Solution : Configurez l'initiateur avec la clé secrète partagée RADIUS. Pour plus d'informations, reportez-vous à la section Configuration d'un serveur RADIUS pour la cible iSCSI.

WARNING: RADIUS packet authentication failed

Origine : L'initiateur n'a pas réussi à authentifier le paquet de données RADIUS. Cette erreur peut se produire si la clé secrète partagée configurée sur le noeud d'initiateur est différente de celle présente sur le serveur RADIUS.

Solution : Reconfigurez l'initiateur avec la clé secrète partagée RADIUS appropriée. Pour plus d'informations, reportez-vous à la section Configuration d'un serveur RADIUS pour la cible iSCSI.