他社製の RADIUS サーバーを使用すると、CHAP シークレット管理を単純化できます。RADIUS サーバーは集中管理認証サービスです。RADIUS サーバーを使って双方向認証を行う場合、イニシエータの CHAP シークレットは依然として指定する必要がありますが、各イニシエータ上で各ターゲットの CHAP シークレットを指定する必要はなくなります。
詳細は、次の項目を参照してください。
この手順では、ユーザーが現在ログインしているローカルシステムから構成済みの iSCSI ターゲットデバイスに安全にアクセスするものとします。
スーパーユーザーになります。
RADIUS サーバーの IP アドレスとポート (デフォルトのポートは 1812) を、イニシエータノードに設定します。
次に例を示します。
initiator# iscsiadm modify initiator-node --radius-server 10.0.0.72:1812 |
RADIUS サーバーの共有鍵をイニシエータノードに設定します。
initiator# iscsiadm modify initiator-node --radius-shared-secret |
Solaris iSCSI 実装の場合、RADIUS サーバーに共有シークレットが構成されていないと、Solaris iSCSI ソフトウェアは RADIUS サーバーと通信できません。
RADIUS サーバーを有効にします。
initiator# iscsiadm modify initiator-node --radius-access enable |
この節では、Solaris iSCSI と RADIUS サーバーの構成に関係するエラーメッセージとその考えられる解決法について説明します。
empty RADIUS shared secret
原因:イニシエータ上で RADIUS サーバーが有効になっているにもかかわらず、RADIUS の共有シークレットが設定されていません。
対処方法:RADIUS の共有シークレットをイニシエータに設定します。詳細は、「iSCSI 構成の RADIUS を構成する方法」を参照してください。
WARNING: RADIUS packet authentication failed
原因:イニシエータによる RADIUS データパケットの認証が失敗しました。このエラーが発生する可能性があるのは、イニシエータノード上に設定された共有シークレットが RADIUS サーバー上の共有シークレットと異なっている場合です。
正しい RADIUS 共有シークレットをイニシエータに設定し直します。詳細は、「iSCSI 構成の RADIUS を構成する方法」を参照してください。