在基于 iSCSI 的存储网络中配置验证

为 iSCSI 设备设置验证是可选的。

在安全环境下，由于仅有受信任的启动器才能访问目标，因此不需要进行验证。

在安全性较低的环境中，目标不能确定连接请求是否真正来自给定主机。在这种情况下，目标可以使用质询握手身份验证协议 (Challenge-Handshake Authentication Protocol, CHAP) 来验证启动器。

CHAP 验证使用质询和响应的概念，这意味着目标将质询启动器以查验其身份。要使质询/响应方法可行，目标必须知道启动器的密钥，并且必须将启动器设置为响应质询。有关在数组中设置密钥的说明，请参阅数组供应商的文档。

iSCSI 支持单向和双向验证，如下：

• 单向验证使目标可以验证启动器的身份。单向验证代表目标验证启动器。

• 双向验证通过使启动器可以验证目标身份，提供了更高级别的安全性。双向验证由启动器驱动，控制是否执行了双向验证。该目标唯一所需的设置是必须正确定义 chap 用户和 chap 机密。

如何配置对 iSCSI 启动器的 CHAP 验证

此过程假定您已登录到本地系统，并且要在此系统中安全地访问已配置的 iSCSI 目标设备。

• COMSTAR iSCSI 目标的 CHAP 密钥长度必须最少为 12 个字符，最多为 255 个字符。有些启动器只支持少于最大长度的密钥。

• 使用 CHAP 识别自己的每个节点必须具有用户名和口令。在 Oracle Solaris 11 环境中，缺省情况下，CHAP 用户名会被设置为启动器或目标节点名称（即 iqn 名称）。可以将 CHAP 用户名设置为小于 512 个字节的任意长度的文本。512 个字节长度限制是 Oracle Solaris 11 限制。但是，如果未设置 CHAP 用户名，则系统会在初始化时将其设置为节点名称。

可以使用第三方 RADIUS 服务器来简化 CHAP 密钥管理，RADIUS 服务器充当集中验证服务。使用 RADIUS 时，RADIUS 服务器会存储节点名称组并匹配 CHAP 密钥。执行验证的系统将请求程序的节点名称和提供的机密转发给 RADIUS 服务器。RADIUS 服务器确认密钥是否是验证给定节点名称的合适密钥。iSCSI 和 iSER 均支持使用 RADIUS 服务器。

有关使用第三方 RADIUS 服务器的更多信息，请参见使用第三方 RADIUS 服务器简化 iSCSI 配置中的 CHAP 管理。

1. 成为管理员。

   有关更多信息，请参见《Oracle Solaris 管理：安全服务》中的"如何获取管理权限"。

2. 确定要配置单向 CHAP 还是双向 CHAP。

   • 单向验证可使目标验证启动器。此方法为缺省方法。只需完成步骤 3–5 即可。

   • 双向验证通过使启动器验证目标提供了更高级别的安全性。请完成步骤 3–9。

3. 单向 CHAP：设置启动器的密钥。

   以下命令将启动一个用于定义 CHAP 密钥的对话框：

   initiator# iscsiadm modify initiator-node --CHAP-secret
   Enter CHAP secret: ************
   Re-enter secret: ************

4. （可选的）单向 CHAP：设置启动器的 CHAP 用户名。

   缺省情况下，启动器的 CHAP 用户名会设置为启动器节点名称。

   使用以下命令来使用启动器的 CHAP 用户名：

   initiator# iscsiadm modify initiator-node --CHAP-name new-CHAP-name

5. 单向 CHAP－在启动器上启用 CHAP 验证。

   initiator# iscsiadm modify initiator-node --authentication CHAP

   CHAP 要求启动器节点具有用户名和口令。用户名通常由目标用于查找给定用户名的密钥。

6. 选择以下步骤之一启用或禁用双向 CHAP。

   • 启用双向 CHAP 以与目标连接。

     initiator# iscsiadm modify target-param -B enable target-iqn

   • 禁用双向 CHAP。

     initiator# iscsiadm modify target-param -B disable target-iqn

7. 双向 CHAP：针对目标将验证方法设置为 CHAP。

   initiator# iscsiadm modify target-param --authentication CHAP target-iqn

8. 双向 CHAP：设置确定目标的目标设备密钥。

   以下命令将启动一个用于定义 CHAP 密钥的对话框：

   initiator# iscsiadm modify target-param --CHAP-secret target-iqn

9. 双向 CHAP：如果目标使用备用 CHAP 用户名，请设置确定目标的 CHAP 名称。

   缺省情况下，目标的 CHAP 名称会设置为目标名称。

   可以使用以下命令来更改目标的 CHAP 名称：

   initiator# iscsiadm modify target-param --CHAP-name target-CHAP-name

如何配置对 iSCSI 目标的 CHAP 验证

此过程假定您已登录到包含 iSCSI 目标的本地系统。

1. 成为管理员。
2. 确定要配置单向 CHAP 还是双向 CHAP。

   • 单向验证为缺省方法。只需完成步骤 3–5 即可。

   • 对于双向验证。请完成步骤 3–7。

3. 单向/双向 CHAP：配置目标来要求启动器确定正在使用 CHAP。

   target# itadm modify-target -a chap target-iqn

4. 单向/双向 CHAP：创建描述启动器的启动器上下文。

   使用启动器的完整节点名称和启动器的 CHAP 密钥创建启动器上下文。

   target# itadm create-initiator -s initiator-iqn
   Enter CHAP secret: ************
   Re-enter secret: ************

5. 单向/双向 CHAP：如果启动器使用备用 CHAP 名称，则使用备用名称配置启动器上下文。

   target# itadm modify-initiator -u initiator-CHAP-name initiator-iqn

6. 双向 CHAP：设置确定目标的目标设备密钥。

   target# itadm modify-target -s target-iqn
   Enter CHAP secret: ************
   Re-enter secret: ************

7. （可选的）双向 CHAP：如果目标使用备用 CHAP 用户名而不是目标节点名称 (iqn)，请修改目标。

   target# itadm modify-target -u target-CHAP-name target-iqn

使用第三方 RADIUS 服务器简化 iSCSI 配置中的 CHAP 管理

可以使用第三方 RADIUS 服务器来简化 CHAP 密钥管理。RADIUS 服务器充当集中验证服务。使用此方法时，推荐的做法是使用每个启动器节点的缺省 CHAP 名称。通常情况下，所有启动器使用缺省 CHAP 名称时，不必在目标上创建启动器上下文。

如何为 iSCSI 目标配置 RADIUS 服务器

此过程假定您已登录到本地系统，并且要在此系统中安全地访问已配置的 iSCSI 目标设备。

1. 成为管理员。
2. 使用 RADIUS 服务器的 IP 地址和端口配置启动器节点。

   缺省端口为 1812。一次在目标系统上针对所有 iSCSI 目标完成该配置。

   initiator# itadm modify-defaults -r RADIUS-server-IP-address
   Enter RADIUS secret: ************
   Re-enter secret: ************

3. 配置用于目标系统和 RADIUS 服务器之间通信的共享密钥。

   initiator# itadm modify-defaults -d
   Enter RADIUS secret: ************
   Re-enter secret: ************

4. 配置目标系统来要求 RADIUS 验证。

   可以为单个目标执行该配置，或作为所有目标的缺省配置。

   initiator# itadm modify-target -a radius target-iqn

5. 使用以下组件配置 RADIUS 服务器：

   • 目标节点的标识（例如其 IP 地址）

   • 目标节点用来与 RADIUS 服务器通信的共享密钥

   • 每个启动器需要验证的启动器 CHAP 名称（例如其 iqn 名称）和密钥

如何为 iSCSI 启动器配置 RADIUS 服务器

可以使用第三方 RADIUS 服务器来简化 CHAP 密钥管理。RADIUS 服务器充当集中验证服务。此步骤只在启动器要求双向 CHAP 验证时才有用。尽管仍然必须指定启动器的 CHAP 密钥，但是，在将双向验证与 RADIUS 服务器结合使用时，不再需要在启动器上指定每个目标的 CHAP 密钥。RADIUS 可在启动器或目标上独立配置。启动器和目标不必使用 RADIUS。

1. 成为管理员。
2. 使用 RADIUS 服务器的 IP 地址和端口配置启动器节点。

   缺省端口为 1812。

   # iscsiadm modify initiator-node --radius-server ip-address:1812

3. 使用 RADIUS 服务器的共享密钥配置启动器节点。

   iSCSI 与 RADIUS 服务器进行交互之前必须使用共享密钥配置 RADIUS 服务器。

   # iscsiadm modify initiator-node --radius-shared-secret
   Enter secret:
   Re-enter secret

4. 启用 RADIUS 服务器。

   # iscsiadm modify initiator-node --radius-access enable

5. 设置 CHAP 双向验证的其他方面。

   # iscsiadm modify initiator-node --authentication CHAP
   # iscsiadm modify target-param --bi-directional-authentication enable target-iqn
   # iscsiadm modify target-param --authentication CHAP target-iqn

6. 使用以下组件配置 RADIUS 服务器：

   • 此节点的标识（例如其 IP 地址）

   • 此节点用来与 RADIUS 服务器通信的共享密钥

   • 每个需要验证的目标的 CHAP 名称（例如其 iqn 名称）和密钥

Oracle Solaris iSCSI 和 RADIUS 服务器错误消息

本节介绍与 Oracle Solaris iSCSI 和 RADIUS 服务器配置相关的错误消息。还介绍了可能的恢复解决方法。

空 RADIUS 共享密钥

原因: 已在启动器上启用了 RADIUS 服务器，但未设置 RADIUS 共享密钥。

解决方法: 使用 RADIUS 共享密钥配置启动器。有关更多信息，请参见如何为 iSCSI 目标配置 RADIUS 服务器。

警告：RADIUS 数据包验证失败

原因: 启动器无法验证 RADIUS 数据包。如果在启动器节点上配置的共享密钥不同于 RADIUS 服务器上的共享密钥，则会出现此错误。

解决方法: 使用正确的 RADIUS 共享密钥重新配置启动器。有关更多信息，请参见如何为 iSCSI 目标配置 RADIUS 服务器。