他社製の RADIUS サーバーを使用して iSCSI 構成内の CHAP 管理を単純化する

他社製の RADIUS サーバーを使用すると、CHAP シークレット管理を単純化できます。RADIUS サーバーは集中管理認証サービスです。RADIUS サーバーを使って双方向認証を行う場合、イニシエータの CHAP シークレットは依然として指定する必要がありますが、各イニシエータ上で各ターゲットの CHAP シークレットを指定する必要はなくなります。

詳細は、次の項目を参照してください。

• CHAP – http://www.ietf.org/rfc/rfc1994.txt

• RADIUS – http://www.ietf.org/rfc/rfc2865.txt

iSCSI 構成の RADIUS を構成する方法

この手順では、ユーザーが現在ログインしているローカルシステムから構成済みの iSCSI ターゲットデバイスに安全にアクセスするものとします。

1. スーパーユーザーになります。

2. RADIUS サーバーの IP アドレスとポート (デフォルトのポートは 1812) を、イニシエータノードに設定します。

   次に例を示します。

   initiator# iscsiadm modify initiator-node --radius-server 10.0.0.72:1812

3. RADIUS サーバーの共有鍵をイニシエータノードに設定します。

   initiator# iscsiadm modify initiator-node --radius-shared-secret

   ---

   注 –

   Solaris iSCSI 実装の場合、RADIUS サーバーに共有シークレットが構成されていないと、Solaris iSCSI ソフトウェアは RADIUS サーバーと通信できません。

   ---

4. RADIUS サーバーを有効にします。

   initiator# iscsiadm modify initiator-node --radius-access enable

Solaris iSCSI と RADIUS サーバーに関するエラーメッセージ

この節では、Solaris iSCSI と RADIUS サーバーの構成に関係するエラーメッセージとその考えられる解決法について説明します。

empty RADIUS shared secret

原因:

イニシエータ上で RADIUS サーバーが有効になっているにもかかわらず、RADIUS の共有シークレットが設定されていません。

対処方法:

RADIUS の共有シークレットをイニシエータに設定します。詳細は、「iSCSI 構成の RADIUS を構成する方法」を参照してください。

WARNING: RADIUS packet authentication failed

原因:

イニシエータによる RADIUS データパケットの認証が失敗しました。このエラーが発生する可能性があるのは、イニシエータノード上に設定された共有シークレットが RADIUS サーバー上の共有シークレットと異なっている場合です。

正しい RADIUS 共有シークレットをイニシエータに設定し直します。詳細は、「iSCSI 構成の RADIUS を構成する方法」を参照してください。