test

Solaris のシステム管理 (デバイスとファイルシステム)

iSCSI ベースのストレージネットワークにおける認証の構成

iSCSI デバイスの認証設定は省略可能です。

セキュリティー保護された環境では、信頼できるイニシエータだけがターゲットにアクセスできるため、認証は必要ありません。

セキュリティー保護の不十分な環境では、ターゲットは、接続要求が本当に指定されたホストからのものなのかを判断できません。そのような場合、ターゲットは、チャレンジハンドシェーク認証プロトコル (CHAP) を使ってイニシエータを認証できます。

CHAP 認証では「チャレンジ」と「応答」の概念が使用され、つまり、ターゲットがイニシエータに対して身元の証明を要求します。このチャレンジ / 応答方式が機能するには、ターゲットがイニシエータの秘密鍵を知っており、かつイニシエータがチャレンジに応答するように設定されている必要があります。秘密鍵をアレイ上に設定する手順については、アレイのベンダーのマニュアルを参照してください。

iSCSI は単方向認証と双方向認証をサポートします。

ProcedureiSCSI イニシエータの CHAP 認証を構成する方法

この手順では、ユーザーが現在ログインしているローカルシステムから構成済みの iSCSI ターゲットデバイスに安全にアクセスするものとします。

  1. スーパーユーザーになります。

  2. 単方向 CHAP または双方向 CHAP のどちらを構成するかを決定します。

    • 単方向認証 (デフォルトの方式) では、ターゲットがイニシエータを検証できます。手順 3 から 5 のみを実行してください。

    • 双方向認証では、二次レベルのセキュリティーを追加する目的で、イニシエータがターゲットを認証することできます。手順 3 から 9 を実行してください。

  3. 単方向 CHAP – イニシエータ上で秘密鍵を設定します。

    たとえば、次のコマンドを実行すると、CHAP の秘密鍵を定義するためのダイアログが起動されます。


    initiator# iscsiadm modify initiator-node --CHAP-secret
    注 –

    CHAP シークレットの長さは 12 文字 - 16 文字である必要があります。

  4. (省略可能) 単方向 CHAP – イニシエータ上で CHAP 名を設定します。

    デフォルトではイニシエータの CHAP 名は、イニシエータのノード名に設定されます。

    次のコマンドを使用して、イニシエータの CHAP 名を変更できます。


    initiator# iscsiadm modify initiator-node --CHAP-name new-CHAP-name

    Solaris 環境では、CHAP 名はデフォルトで常にイニシエータノード名に設定されます。CHAP 名は、512 バイト未満の任意の長さのテキストに設定できます。512 バイトの長さの制限は Solaris の制限です。ただし、CHAP 名を設定しない場合は、初期化のときにイニシエータノード名に設定されます。

  5. 単方向 CHAP – シークレットの設定完了後にイニシエータ上で CHAP 認証を有効にします。


    initiator# iscsiadm modify initiator-node --authentication CHAP

    CHAP 認証では、イニシエータノードにユーザー名とパスワードが必要です。ユーザー名は通常、渡されたユーザー名のシークレットをターゲットが検索するために使用されます。

  6. 次のいずれかを選択して双方向 CHAP を有効または無効にします。

    • 双方向 CHAP – ターゲットの双方向認証パラメータを有効にします。

      次に例を示します。


      initiator# iscsiadm modify target-param -B enable eui.5000ABCD78945E2B

    • 双方向 CHAP を無効にします。次に例を示します。


      initiator# iscsiadm modify target-param -B disable eui.5000ABCD78945E2B

  7. 双方向 CHAP – ターゲット上で認証方法を CHAP に設定します。

    次に例を示します。


    initiator# iscsiadm modify target-param --authentication CHAP eui.5000ABCD78945E2B

  8. 双方向 CHAP – ターゲット上でターゲットデバイスの秘密鍵を設定します。

    たとえば、次のコマンドを実行すると、CHAP の秘密鍵を定義するためのダイアログが起動されます。


    initiator# iscsiadm modify target-param --CHAP-secret eui.5000ABCD78945E2B

  9. 双方向 CHAP - ターゲット上で CHAP 名を設定します。

    デフォルトでは、ターゲットの CHAP 名はターゲット名に設定されます。

    次のコマンドを使用して、ターゲットの CHAP 名を変更できます。


    initiator# iscsiadm modify target-param --CHAP-name target-CHAP-name

ProcedureiSCSI ターゲットの CHAP 認証を構成する方法

この手順では、iSCSI ターゲットのあるローカルシステムにユーザーがログインしているものとします。

  1. スーパーユーザーになります。

  2. ターゲットの CHAP シークレット名を設定します。

    規則では、ホスト名をシークレット名として使用します。次に例を示します。


    target# iscsitadm modify admin -H stormpike

  3. CHAP シークレットを指定します。

    CHAP シークレットは、12 - 16 文字にする必要があります。次に例を示します。


    target# iscsitadm modify admin -C
Enter secret: xxxxxx
Re-enter secret: xxxxxx

  4. 1 つ以上のターゲットに関連付けられるイニシエータオブジェクトを作成します。

    この手順は、毎回 IQN 値を入力しなくても済むように、わかりやすい名前 (通常はホスト名、この場合は monster620) を IQN 値に関連付けるために行います。次に例を示します。


    # iscsitadm create initiator -n iqn.1986-03.com.sun: 01:00e081553307.4399f40e monster620

  5. イニシエータで使用したのと同じ CHAP 名を指定します。

    この名前は、イニシエータオブジェクトに使用したわかりやすい名前でなくてもかまいません。次に例を示します。


    target# iscsitadm modify initiator -H monster620 monster620

  6. イニシエータで使用したのと同じ CHAP シークレットを指定します。

    次に例を示します。


    target# iscsitadm modify initiator -C monster620
Enter secret: xxxxxx
Re-enter secret: xxxxxx

  7. イニシエータオブジェクトを 1 つ以上のターゲットに関連付けます。

    次に例を示します。


    target# iscsitadm modify target -l monster620 sandbox