ドキュメントの品質向上のためのご意見をください

簡潔すぎた
読みづらかった、または難し過ぎた
重要な情報が欠けていた
内容が間違っていた
翻訳版が必要
--選択-- Deutch (German) Español (Spanish) Français (French) Italiano (Italian) Português Brasil (Portuguese) 日本語 (Japanese) 한국어 (Korean) 简体中文 (Simplified Chinese) 繁體中文 (Traditional Chinese) その他の言語 その他

Your rating has been updated

貴重なご意見を有り難うございました!

あなたの貴重なご意見はより良いドキュメント作成の手助けとなります 内容の品質向上と追加コメントのためのアンケートに参加されますか？

アンケートに回答しますいいえ、回答しません

iSCSI ベースのストレージネットワークにおける認証の構成

iSCSI デバイスの認証設定はオプションです。

セキュリティー保護された環境では、信頼できるイニシエータだけがターゲットにアクセスできるため、認証は必要ありません。

セキュリティー保護の不十分な環境では、ターゲットは、接続要求が本当に指定されたホストからのものなのかを判断できません。そのような場合、ターゲットは、チャレンジハンドシェーク認証プロトコル (CHAP) を使ってイニシエータを認証できます。

CHAP 認証では「チャレンジ」と「応答」の概念が使用され、つまり、ターゲットがイニシエータに対して身元の証明を要求します。このチャレンジ / 応答方式が機能するには、ターゲットがイニシエータの秘密鍵を知っており、かつイニシエータがチャレンジに応答するように設定されている必要があります。秘密鍵をアレイ上に設定する手順については、アレイのベンダーのドキュメントを参照してください。

iSCSI は、次の単方向および双方向の認証をサポートします。

• 「単方向認証」では、ターゲットがイニシエータの身元を認証できます。単方向認証はターゲットのために行われるもので、イニシエータを認証します。

• 「双方向認証」では、イニシエータがターゲットの身元を認証できるようにすることで、二次レベルのセキュリティーを追加します。双方向認証はイニシエータ主導で行われ、双方向認証を実行するかどうかはイニシエータにより制御されます。ターゲットに求められる設定は、CHAP ユーザーと CHAP シークレットを正しく定義することだけです。

iSCSI イニシエータの CHAP 認証を構成する方法

この手順では、ユーザーが現在ログインしているローカルシステムから構成済みの iSCSI ターゲットデバイスに安全にアクセスするものとします。

• COMSTAR iSCSI ターゲットの CHAP 秘密鍵の長さは、12 文字以上かつ 255 文字以下にする必要があります。一部のイニシエータでは、サポートする秘密鍵の最大長がさらに短くなります。

• 自らの識別に CHAP を使用する各ノードは、ユーザー名とパスワードの両方が必要です。Oracle Solaris OS では、CHAP ユーザー名はデフォルトでイニシエータまたはターゲットのノード名 (つまり、iqn 名) に設定されます。CHAP ユーザー名は、512 バイト未満の任意の長さのテキストに設定できます。512 バイトの長さの制限は Oracle Solaris の制限です。ただし、CHAP ユーザー名を設定しない場合は、初期化のときにノード名に設定されます。

集中管理認証サービスとして機能する他社製の RADIUS サーバーを使用することで、CHAP 秘密鍵の管理を簡略化できます。RADIUS を使用するときに、RADIUS サーバーにはノード名と、一致する CHAP 秘密鍵のセットが格納されます。認証を実行するシステムは、要求元のノード名および提供された要求者のシークレットを RADIUS サーバーに転送します。RADIUS サーバーは、秘密鍵が、指定されたモード名を認証するのに適切な鍵かどうかを確認します。iSCSI と iSER のどちらも、RADIUS サーバーの使用をサポートします。

他社製の RADIUS サーバーの使用に関する詳細は、「他社製の RADIUS サーバーを使用して iSCSI 構成内の CHAP 管理を単純化する」を参照してください。

1. 管理者になります。

   詳細は、『Oracle Solaris 11.1 の管理: セキュリティーサービス』の「割り当てられている管理権限を使用する方法」を参照してください。

2. 単方向 CHAP または双方向 CHAP のどちらを構成するかを決定します。

   • 単方向認証 (デフォルトの方式) では、ターゲットがイニシエータを検証できます。手順 3 から 5 のみを実行してください。

   • 双方向認証では、二次レベルのセキュリティーを追加する目的で、イニシエータがターゲットを認証することできます。手順 3 から 9 を実行してください。

3. 単方向 CHAP: イニシエータ上で秘密鍵を設定します。

   次のコマンドは、CHAP の秘密鍵を定義するためのダイアログを起動します。

   initiator# iscsiadm modify initiator-node --CHAP-secret
   Enter CHAP secret: ************
   Re-enter secret: ************

4. (オプション) 単方向 CHAP: イニシエータ上で CHAP ユーザー名を設定します。

   デフォルトではイニシエータの CHAP ユーザー名は、イニシエータのノード名に設定されます。

   次のコマンドを使用して、独自のイニシエータ CHAP ユーザー名を使用します。

   initiator# iscsiadm modify initiator-node --CHAP-name new-CHAP-name

5. 単方向 CHAP – イニシエータ上で CHAP 認証を有効にします。

   initiator# iscsiadm modify initiator-node --authentication CHAP

   CHAP 認証では、イニシエータノードにユーザー名とパスワードが必要です。ユーザー名は通常、渡されたユーザー名の秘密鍵をターゲットが検索するために使用されます。

6. 次のいずれかを選択して双方向 CHAP を有効または無効にします。

   • ターゲットとの接続用に双方向 CHAP を有効にします。

     initiator# iscsiadm modify target-param -B enable target-iqn

   • 双方向 CHAP を無効にします。

     initiator# iscsiadm modify target-param -B disable target-iqn

7. 双方向 CHAP: ターゲットの認証方法を CHAP に設定します。

   initiator# iscsiadm modify target-param --authentication CHAP target-iqn

8. 双方向 CHAP: ターゲットを識別するターゲットデバイスの秘密鍵を設定します。

   次のコマンドは、CHAP の秘密鍵を定義するためのダイアログを起動します。

   initiator# iscsiadm modify target-param --CHAP-secret target-iqn

9. 双方向 CHAP: ターゲットが代替 CHAP ユーザー名を使用する場合、ターゲットを識別する CHAP 名を設定します。

   デフォルトでは、ターゲットの CHAP 名はターゲット名に設定されます。

   次のコマンドを使用して、ターゲットの CHAP 名を変更できます。

   initiator# iscsiadm modify target-param --CHAP-name target-CHAP-name

iSCSI ターゲットの CHAP 認証を構成する方法

この手順では、iSCSI ターゲットのあるローカルシステムにユーザーがログインしているものとします。

1. 管理者になります。
2. 単方向 CHAP または 双方向 CHAP のどちらを構成するかを決定します。

   • 単方向認証がデフォルト方式です。手順 3 から 5 のみを実行してください。

   • 双方向認証の場合。手順 3 から 7 を実行してください。

3. 単方向/双方向 CHAP: イニシエータが CHAP を使用して自らを識別することを必要とするように、ターゲットを構成します。

   target# itadm modify-target -a chap target-iqn

4. 単方向/双方向 CHAP: イニシエータコンテキストを作成して、イニシエータについて記述します。

   イニシエータのフルノード名とイニシエータの CHAP 秘密鍵を使って、イニシエータコンテキストを作成します。

   target# itadm create-initiator -s initiator-iqn
   Enter CHAP secret: ************
   Re-enter secret: ************

5. 単方向/双方向 CHAP: イニシエータが代替 CHAP 名を使用する場合、代替名を使ってイニシエータコンテキストを構成します。

   target# itadm modify-initiator -u initiator-CHAP-name initiator-iqn

6. 双方向 CHAP: このターゲットを識別するターゲットデバイスの秘密鍵を設定します。

   target# itadm modify-target -s target-iqn
   Enter CHAP secret: ************
   Re-enter secret: ************

7. (オプション) 双方向 CHAP: ターゲットがターゲットノード名 (iqn) 以外の代替 CHAP ユーザー名を使用する場合、ターゲットを変更します。

   target# itadm modify-target -u target-CHAP-name target-iqn

他社製の RADIUS サーバーを使用して iSCSI 構成内の CHAP 管理を単純化する

集中管理認証サービスとして機能する他社製の RADIUS サーバーを使用して、CHAP 秘密鍵の管理を簡略化できます。この方式では、各イニシエータノードでデフォルトの CHAP 名を使用することをお勧めします。すべてのイニシエータがデフォルトの CHAP 名を使用するという一般的な場合では、ターゲット上にイニシエータコンテキストを作成する必要はありません。

RADIUS サーバーを iSCSI ターゲット用に構成する方法

集中管理認証サービスとして機能する他社製の RADIUS サーバーを使用して、CHAP 秘密鍵の管理を簡略化できます。この方式では、各イニシエータノードでデフォルトの CHAP 名を使用することをお勧めします。すべてのイニシエータがデフォルトの CHAP 名を使用するという一般的な場合では、ターゲット上にイニシエータコンテキストを作成する必要はありません。

この手順では、ユーザーが現在ログインしているローカルシステムから構成済みの iSCSI ターゲットデバイスに安全にアクセスするものとします。

1. 管理者になります。
2. RADIUS サーバーの IP アドレスとポートを使用して、イニシエータノードを構成します。

   デフォルトのポートは 1812 です。この構成は、ターゲットシステム上のすべての iSCSI ターゲットに対して 1 回で完了します。

   initiator# itadm modify-defaults -r RADIUS-server-IP-address
   Enter RADIUS secret: ************
   Re-enter secret: ************

3. ターゲットシステムと RADIUS サーバー間の通信に使用される共有秘密鍵を構成します。

   initiator# itadm modify-defaults -d
   Enter RADIUS secret: ************
   Re-enter secret: ************

4. RADIUS 認証を必要とするようにターゲットシステムを構成します。

   この構成は、個別のターゲットに実行することも、すべてのターゲットのデフォルトとして実行することもできます。

   initiator# itadm modify-target -a radius target-iqn

5. 次のコンポーネントを使用して RADIUS サーバーを構成します。

   • ターゲットノードの識別情報 (IP アドレスなど)

   • ターゲットノードが RADIUS サーバーとの通信に使用する共有秘密鍵

   • イニシエータの CHAP 名 (たとえば、iqn 名)、および認証の必要な各イニシエータの秘密鍵

RADIUS サーバーを iSCSI イニシエータ用に構成する方法

集中管理認証サービスとして機能する他社製の RADIUS サーバーを使用して、CHAP 秘密鍵の管理を簡略化できます。この設定が役に立つのは、イニシエータが双方向 CHAP 認証を要求しているときだけです。それでも、イニシエータの CHAP 秘密鍵を指定する必要があります。ただし、RADIUS サーバーとの双方向認証を使用しているときは、イニシエータ上の各ターゲットの CHAP 秘密鍵を指定する必要はありません。RADIUS は、イニシエータまたはターゲットのいずれかの上に独立して構成できます。イニシエータおよびターゲットは、RADIUS を使用する必要はありません。

1. 管理者になります。
2. RADIUS サーバーの IP アドレスとポートを使用して、イニシエータノードを構成します。

   デフォルトのポートは 1812 です。

   # iscsiadm modify initiator-node --radius-server ip-address:1812

3. RADIUS サーバーの共有秘密鍵をイニシエータノードに構成します。

   iSCSI がサーバーとの対話処理を実行するためには、共有シークレットを使って RADIUS サーバーを構成する必要があります。

   # iscsiadm modify initiator-node --radius-shared-secret
   Enter secret:
   Re-enter secret

4. RADIUS サーバーの使用を有効にします。

   # iscsiadm modify initiator-node --radius-access enable

5. CHAP 双方向認証に関するその他の設定を行います。

   # iscsiadm modify initiator-node --authentication CHAP
   # iscsiadm modify target-param --bi-directional-authentication enable target-iqn
   # iscsiadm modify target-param --authentication CHAP target-iqn

6. 次のコンポーネントを使用して RADIUS サーバーを構成します。

   • このノードの識別情報 (IP アドレスなど)

   • このノードが RADIUS サーバーとの通信に使用する共有秘密鍵

   • ターゲットの CHAP 名 (たとえば、iqn 名)、および認証の必要な各ターゲットの秘密鍵

Oracle Solaris iSCSI と RADIUS サーバーに関するエラーメッセージ

このセクションでは、Oracle Solaris iSCSI と RADIUS サーバーの構成に関するエラーメッセージについて説明します。復旧に役立つと思われるソリューションも提供します。

empty RADIUS shared secret

原因: イニシエータ上で RADIUS サーバーが有効になっているにもかかわらず、RADIUS の共有秘密鍵が設定されていません。

対処方法: RADIUS の共有秘密鍵をイニシエータに構成します。詳細は、「RADIUS サーバーを iSCSI ターゲット用に構成する方法」を参照してください。

WARNING: RADIUS packet authentication failed

原因: イニシエータによる RADIUS データパケットの認証が失敗しました。このエラーが発生する可能性があるのは、イニシエータノード上に構成された共有秘密鍵が RADIUS サーバー上の共有秘密鍵と異なっている場合です。

対処方法: 正しい RADIUS 共有シークレットをイニシエータに構成し直します。詳細は、「RADIUS サーバーを iSCSI ターゲット用に構成する方法」を参照してください。