Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Administración de Oracle Solaris 11.1: múltiples rutas y configuración de SAN Oracle Solaris 11.1 Information Library (Español) |
1. Descripción general de rutas múltiples de E/S de Solaris
2. Descripción general de la configuración de rutas múltiples de canal de fibra
3. Configuración de funciones de rutas múltiples de E/S de Solaris
4. Administración de dispositivos de rutas múltiples
5. Configuración de dispositivos conectados al tejido
6. Configuración de iniciadores iSCSI de Solaris
Tecnología iSCSI de Oracle Solaris (descripción general)
Identificación de requisitos de software y hardware de iSCSI de Oracle Solaris
Tareas de configuración de iniciadores iSCSI
Prácticas recomendadas para la configuración iSCSI
Configuración de detección de destinos dinámica o estática
Cómo configurar un iniciador iSCSI
Cómo eliminar dispositivos de destino detectados
Configuración de la autenticación en su red de almacenamiento basada en iSCSI
Cómo configurar la autenticación CHAP para su iniciador iSCSI
Cómo configurar la autenticación CHAP para su destino iSCSI
Cómo configurar un servidor RADIUS para el destino iSCSI
Cómo configurar un servidor RADIUS para el iniciador iSCSI
Mensajes de error de servidor RADIUS e iSCSI de Oracle Solaris
Configuración de dispositivos iSCSI con varias rutas en Oracle Solaris
Cómo activar varias sesiones iSCSI para un destino
Supervisión de configuración de iSCSI
Cómo visualizar información de configuración de iSCSI
Modificación de parámetros de destino e iniciador iSCSI
Cómo ajustar los parámetros de iSCSI
Cómo modificar parámetros de destino e iniciador iSCSI
Solución de problemas de configuración de iSCSI
Sin conexiones al destino iSCSI desde el sistema local
Cómo solucionar problemas de conexión de iSCSI
Disco o dispositivo iSCSI no disponible en el sistema local
Cómo solucionar problemas de no disponibilidad de discos o dispositivos iSCSI
Uso del enmascaramiento de LUN cuando se utiliza el método de detección iSNS
Mensajes de error generales de iSCSI
7. Configuración de puertos de canal de fibra virtuales
8. Configuración de puertos FCoE
9. Configuración de dominios SAS
10. Configuración de dispositivos IPFC SAN
12. Vinculación persistente para dispositivos de cinta
A. Configuración manual para dispositivos conectados al tejido
C. Resolución de problemas relacionados con dispositivos de rutas múltiples
La configuración de la autentificación para sus dispositivos iSCSI es opcional.
En un entorno seguro, no es necesaria la autenticación, porque sólo los iniciadores de confianza pueden acceder a los destinos.
En un entorno menos seguro, el destino no puede determinar si una solicitud de conexión es realmente de un host determinado. En ese caso, el destino puede autenticar un iniciador mediante el protocolo de autenticación por desafío mutuo (CHAP).
La autenticación CHAP utiliza la noción de un desafío y una respuesta, lo que significa que el destino desafía al iniciador para que demuestre su identidad. Para que el método de desafío/respuesta funcione, el destino debe conocer la clave secreta del iniciador, y el iniciador se debe configurar para responder a un desafío. Consulte la documentación del proveedor de la matriz para obtener instrucciones sobre la configuración de la clave secreta en la matriz.
iSCSI admite la autenticación unidireccional y bidireccional, como se indica a continuación:
Autenticación unidireccional: permite que el destino autentique la identidad del iniciador. La autenticación unidireccional se lleva a cabo en nombre del destino para autenticar el iniciador.
Autenticación bidireccional: agrega un segundo nivel de seguridad permitiendo al iniciador que autentique la identidad del destino. La autenticación bidireccional se controla desde el iniciador, que controla si se realiza la autenticación bidireccional. La única configuración necesaria para el destino es que el usuario de CHAP y el secreto de CHAP deben estar definidos correctamente.
En este procedimiento, se asume que ha iniciado sesión en el sistema local donde desea acceder de forma segura al dispositivo de destino iSCSI configurado.
La longitud de la clave secreta CHAP para el destino iSCSI de COMSTAR debe tener un mínimo de 12 caracteres y un máximo de 255 caracteres. Algunos iniciadores admiten solamente una longitud máxima más corta para la clave secreta.
Cada nodo identificándose mediante CHAP debe tener un nombre de usuario y una contraseña. En el sistema operativo Oracle Solaris, el nombre de usuario de CHAP se establece en el nombre de nodo de destino o iniciador (es decir, el nombre iqn) de manera predeterminada. El nombre de usuario de CHAP se puede establecer en cualquier longitud del texto que sea inferior a 512 bytes. El límite de longitud de 512 bytes es una limitación de Oracle Solaris. Sin embargo, si no establece el nombre de usuario de CHAP, se establece en el nombre de nodo tras la inicialización.
Puede simplificar la gestión de claves secretas de CHAP mediante un servidor RADIUS de terceros, que actúa como un servicio de autenticación centralizado. Al utilizar RADIUS, el servidor RADIUS almacena el conjunto de nombres de nodo y las claves secretas de CHAP coincidentes. El sistema que realiza la autenticación reenvía el nombre de nodo del solicitante y el secreto suministrado del solicitante al servidor RADIUS. El servidor RADIUS confirma si la clave secreta es la clave adecuada para autenticar el nombre de nodo determinado. Tanto iSCSI como iSER admiten el uso de un servidor RADIUS.
Para obtener más información sobre el uso de un servidor RADIUS de terceros, consulte Uso de un servidor RADIUS de terceros para simplificar la gestión de CHAP en la configuración de iSCSI.
Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
La autenticación unidireccional, que es el método predeterminado, permite que el destino valide el iniciador. Complete los pasos 3 a 5 solamente.
La autenticación bidireccional agrega un segundo nivel de seguridad permitiendo al iniciador que autentique el destino. Complete los pasos 3 a 9.
El siguiente comando inicia un diálogo para definir la clave secreta de CHAP:
initiator# iscsiadm modify initiator-node --CHAP-secret Enter CHAP secret: ************ Re-enter secret: ************
De manera predeterminada, el nombre de usuario de CHAP del iniciador se establece en el nombre de nodo del iniciador.
Utilice el siguiente comando para utilizar su propio nombre de usuario de CHAP del iniciador:
initiator# iscsiadm modify initiator-node --CHAP-name new-CHAP-name
initiator# iscsiadm modify initiator-node --authentication CHAP
CHAP requiere que el nodo de iniciador tenga un nombre de usuario y una contraseña. El nombre de usuario es utilizado, normalmente, por el destino para buscar la clave secreta del nombre de usuario determinado.
Active el CHAP bidireccional para las conexiones con el destino.
initiator# iscsiadm modify target-param -B enable target-iqn
Desactive el CHAP bidireccional.
initiator# iscsiadm modify target-param -B disable target-iqn
initiator# iscsiadm modify target-param --authentication CHAP target-iqn
El siguiente comando inicia un diálogo para definir la clave secreta de CHAP:
initiator# iscsiadm modify target-param --CHAP-secret target-iqn
De manera predeterminada, el nombre de CHAP del destino se establece en el nombre de destino.
Puede utilizar el siguiente comando para cambiar el nombre de CHAP del destino:
initiator# iscsiadm modify target-param --CHAP-name target-CHAP-name
En este procedimiento, se asume que ha iniciado sesión en el sistema local que contiene los destinos iSCSI.
La autenticación unidireccional es el método predeterminado. Complete los pasos 3 a 5 solamente.
Para autenticación bidireccional. Complete los pasos 3 a 7.
target# itadm modify-target -a chap target-iqn
Cree el contexto de iniciador con el nombre de nodo completo del iniciador y con la clave secreta de CHAP del iniciador.
target# itadm create-initiator -s initiator-iqn Enter CHAP secret: ************ Re-enter secret: ************
target# itadm modify-initiator -u initiator-CHAP-name initiator-iqn
target# itadm modify-target -s target-iqn Enter CHAP secret: ************ Re-enter secret: ************
target# itadm modify-target -u target-CHAP-name target-iqn
Puede utilizar un servidor RADIUS de terceros que actúa como un servicio de autenticación centralizado para simplificar la gestión de claves secretas de CHAP. Con este método, la práctica recomendada es utilizar el nombre de CHAP predeterminado para cada nodo de iniciador. En el caso común cuando todos iniciadores están utilizando el nombre de CHAP predeterminado, no tiene que crear contextos de iniciador en el destino.
Puede utilizar un servidor RADIUS de terceros que actúa como un servicio de autenticación centralizado para simplificar la gestión de claves secretas de CHAP. Con este método, la práctica recomendada es utilizar el nombre de CHAP predeterminado para cada nodo de iniciador. En el caso común cuando todos iniciadores están utilizando el nombre de CHAP predeterminado, no tiene que crear contextos de iniciador en el destino.
En este procedimiento, se asume que ha iniciado sesión en el sistema local donde desea acceder de forma segura al dispositivo de destino iSCSI configurado.
El puerto predeterminado es 1812. Esta configuración se completa una vez para todos los destinos iSCSI en el sistema de destino.
initiator# itadm modify-defaults -r RADIUS-server-IP-address Enter RADIUS secret: ************ Re-enter secret: ************
initiator# itadm modify-defaults -d Enter RADIUS secret: ************ Re-enter secret: ************
Esta configuración se puede realizar para un destino individual o como un valor predeterminado para todos los destinos.
initiator# itadm modify-target -a radius target-iqn
La identidad del nodo de destino (por ejemplo, su dirección IP)
La clave secreta compartida que el nodo de destino utiliza para comunicarse con el servidor RADIUS
El nombre de CHAP del iniciador (por ejemplo, su nombre iqn) y la clave secreta para cada iniciador que se debe autenticar
Puede utilizar un servidor RADIUS de terceros que actúa como un servicio de autenticación centralizado para simplificar la gestión de claves secretas de CHAP. Esta configuración sólo es útil cuando el iniciador solicita la autenticación CHAP bidireccional. Debe especificar la clave secreta de CHAP del iniciador, pero no es necesario que especifique la clave secreta de CHAP para cada destino en un iniciador al utilizar la autenticación bidireccional con un servidor RADIUS. El RADIUS se puede configurar de manera independiente en el iniciador o en el destino. El iniciador y el destino no tienen que utilizar RADIUS.
El puerto predeterminado es 1812.
# iscsiadm modify initiator-node --radius-server ip-address:1812
El servidor RADIUS se debe configurar con un secreto compartido para que iSCSI interaccione con el servidor.
# iscsiadm modify initiator-node --radius-shared-secret Enter secret: Re-enter secret
# iscsiadm modify initiator-node --radius-access enable
# iscsiadm modify initiator-node --authentication CHAP # iscsiadm modify target-param --bi-directional-authentication enable target-iqn # iscsiadm modify target-param --authentication CHAP target-iqn
La identidad de este nodo (por ejemplo, su dirección IP)
La clave secreta compartida que este nodo utiliza para comunicarse con el servidor RADIUS
El·nombre·de·CHAP·del destino (por ejemplo, su nombre iqn) y la clave secreta para cada destino que se debe autenticar
En esta sección, se describen los mensajes de error que están relacionados con una configuración de servidor RADIUS e iSCSI de Oracle Solaris. También se proporcionan posibles soluciones para la recuperación.
empty RADIUS shared secret
Causa: El servidor RADIUS está activado en el iniciador, pero la calve secreta compartida de RADIUS no está definida.
Solución: Configure el iniciador con la clave secreta compartida de RADIUS. Para obtener más información, consulte Cómo configurar un servidor RADIUS para el destino iSCSI.
WARNING: RADIUS packet authentication failed
Causa: El iniciador no pudo autenticar el paquete de datos RADIUS. Este error puede ocurrir si la clave secreta compartida que se configura en el nodo de iniciador es diferente de la clave secreta compartida en el servidor RADIUS.
Solución: Vuelva a configurar el iniciador con el secreto compartido RADIUS correcto. Para obtener más información, consulte Cómo configurar un servidor RADIUS para el destino iSCSI.