iSCSI イニシエータの CHAP 認証を構成する方法
この手順では、ユーザーが現在ログインしているローカルシステムから構成済みの iSCSI ターゲットデバイスに安全にアクセスするものとします。
-
スーパーユーザーになります。
-
単方向 CHAP または双方向 CHAP のどちらを構成するかを決定します。
-
単方向認証 (デフォルトの方式) では、ターゲットがイニシエータを検証できます。手順 3 から 5 のみを実行してください。
-
双方向認証では、二次レベルのセキュリティーを追加する目的で、イニシエータがターゲットを認証することできます。手順 3 から 9 を実行してください。
-
-
単方向 CHAP – イニシエータ上で秘密鍵を設定します。
たとえば、次のコマンドを実行すると、CHAP の秘密鍵を定義するためのダイアログが起動されます。
initiator# iscsiadm modify initiator-node --CHAP-secret
注 –CHAP シークレットの長さは 12 文字 - 16 文字である必要があります。
-
(省略可能) 単方向 CHAP – イニシエータ上で CHAP 名を設定します。
デフォルトではイニシエータの CHAP 名は、イニシエータのノード名に設定されます。
次のコマンドを使用して、イニシエータの CHAP 名を変更できます。
initiator# iscsiadm modify initiator-node --CHAP-name new-CHAP-name
Solaris 環境では、CHAP 名はデフォルトで常にイニシエータノード名に設定されます。CHAP 名は、512 バイト未満の任意の長さのテキストに設定できます。512 バイトの長さの制限は Solaris の制限です。ただし、CHAP 名を設定しない場合は、初期化のときにイニシエータノード名に設定されます。
-
単方向 CHAP – シークレットの設定完了後にイニシエータ上で CHAP 認証を有効にします。
initiator# iscsiadm modify initiator-node --authentication CHAP
CHAP 認証では、イニシエータノードにユーザー名とパスワードが必要です。ユーザー名は通常、渡されたユーザー名のシークレットをターゲットが検索するために使用されます。
-
次のいずれかを選択して双方向 CHAP を有効または無効にします。
-
双方向 CHAP – ターゲットの双方向認証パラメータを有効にします。
次に例を示します。
initiator# iscsiadm modify target-param -B enable eui.5000ABCD78945E2B
-
双方向 CHAP を無効にします。次に例を示します。
initiator# iscsiadm modify target-param -B disable eui.5000ABCD78945E2B
-
-
双方向 CHAP – ターゲット上で認証方法を CHAP に設定します。
次に例を示します。
initiator# iscsiadm modify target-param --authentication CHAP eui.5000ABCD78945E2B
-
双方向 CHAP – ターゲット上でターゲットデバイスの秘密鍵を設定します。
たとえば、次のコマンドを実行すると、CHAP の秘密鍵を定義するためのダイアログが起動されます。
initiator# iscsiadm modify target-param --CHAP-secret eui.5000ABCD78945E2B
-
双方向 CHAP - ターゲット上で CHAP 名を設定します。
デフォルトでは、ターゲットの CHAP 名はターゲット名に設定されます。
次のコマンドを使用して、ターゲットの CHAP 名を変更できます。
initiator# iscsiadm modify target-param --CHAP-name target-CHAP-name
- © 2010, Oracle Corporation and/or its affiliates