この手順では、ユーザーが現在ログインしているローカルシステムから構成済みの iSCSI ターゲットデバイスに安全にアクセスするものとします。
スーパーユーザーになります。
単方向 CHAP または双方向 CHAP のどちらを構成するかを決定します。
単方向認証 (デフォルトの方式) では、ターゲットがイニシエータを検証できます。手順 3 から 5 のみを実行してください。
双方向認証では、二次レベルのセキュリティーを追加する目的で、イニシエータがターゲットを認証することできます。手順 3 から 9 を実行してください。
単方向 CHAP – イニシエータ上で秘密鍵を設定します。
たとえば、次のコマンドを実行すると、CHAP の秘密鍵を定義するためのダイアログが起動されます。
initiator# iscsiadm modify initiator-node --CHAP-secret |
CHAP シークレットの長さは 12 文字 - 16 文字である必要があります。
(省略可能) 単方向 CHAP – イニシエータ上で CHAP 名を設定します。
デフォルトではイニシエータの CHAP 名は、イニシエータのノード名に設定されます。
次のコマンドを使用して、イニシエータの CHAP 名を変更できます。
initiator# iscsiadm modify initiator-node --CHAP-name new-CHAP-name |
Solaris 環境では、CHAP 名はデフォルトで常にイニシエータノード名に設定されます。CHAP 名は、512 バイト未満の任意の長さのテキストに設定できます。512 バイトの長さの制限は Solaris の制限です。ただし、CHAP 名を設定しない場合は、初期化のときにイニシエータノード名に設定されます。
単方向 CHAP – シークレットの設定完了後にイニシエータ上で CHAP 認証を有効にします。
initiator# iscsiadm modify initiator-node --authentication CHAP |
CHAP 認証では、イニシエータノードにユーザー名とパスワードが必要です。ユーザー名は通常、渡されたユーザー名のシークレットをターゲットが検索するために使用されます。
次のいずれかを選択して双方向 CHAP を有効または無効にします。
双方向 CHAP – ターゲットの双方向認証パラメータを有効にします。
次に例を示します。
initiator# iscsiadm modify target-param -B enable eui.5000ABCD78945E2B |
双方向 CHAP を無効にします。次に例を示します。
initiator# iscsiadm modify target-param -B disable eui.5000ABCD78945E2B |
双方向 CHAP – ターゲット上で認証方法を CHAP に設定します。
次に例を示します。
initiator# iscsiadm modify target-param --authentication CHAP eui.5000ABCD78945E2B |
双方向 CHAP – ターゲット上でターゲットデバイスの秘密鍵を設定します。
たとえば、次のコマンドを実行すると、CHAP の秘密鍵を定義するためのダイアログが起動されます。
initiator# iscsiadm modify target-param --CHAP-secret eui.5000ABCD78945E2B |
双方向 CHAP - ターゲット上で CHAP 名を設定します。
デフォルトでは、ターゲットの CHAP 名はターゲット名に設定されます。
次のコマンドを使用して、ターゲットの CHAP 名を変更できます。
initiator# iscsiadm modify target-param --CHAP-name target-CHAP-name |