在基于 iSCSI 的存储网络中配置验证

为 iSCSI 设备设置验证是可选操作。

在安全环境下，由于仅有受信任的启动器才能访问目标，因此不需要进行验证。

在安全性较低的环境中，目标不能确定连接请求是否真正来自给定主机。在这种情况下，目标可以使用质询握手身份验证协议 (Challenge-Handshake Authentication Protocol, CHAP) 来验证启动器。

CHAP 验证使用质询和响应的概念，这意味着目标将质询启动器以查验其身份。 要使质询/响应方法可行，目标必须知道启动器的密钥，并且必须将启动器设置为响应质询。 有关在数组中设置密钥的说明，请参阅数组供应商的文档。

iSCSI 支持单向和双向验证：

• 单向验证使目标可以验证启动器的身份。

• 双向验证通过为启动器提供一种验证目标身份的方法提供了更高级别的安全性。

如何配置对 iSCSI 配置的 CHAP 验证

此过程假定您已登录到本地系统，并且要在此系统中安全地访问已配置的 iSCSI 目标设备。

1. 成为超级用户。

2. 确定要配置单向 CHAP 还是双向 CHAP。

   • 目标可以使用单向验证来验证启动器。此方法为缺省方法。只需完成步骤 3–5 即可。

   • 双向验证通过为启动器提供一种验证目标的方式提供了更高级别的安全性。请完成步骤 3–9。

3. 单向 CHAP－设置启动器的密钥。

   例如，以下命令将启动一个用于定义 CHAP 密钥的对话框。

   # iscsiadm modify initiator-node --CHAP-secret

   ---

   注 –

   CHAP 密钥长度必须最少为 12 个字符，最多为 16 个字符。

   ---

4. （可选的）单向 CHAP－设置启动器的 CHAP 名称。

   缺省情况下，启动器的 CHAP 名称会设置为启动器节点名称。

   可以使用以下命令来更改启动器的 CHAP 名称。

   # iscsiadm modify initiator-node --CHAP-name new-CHAP-name

5. 单向 CHAP－设置密钥后在启动器上启用 CHAP 验证。

   # iscsiadm modify initiator-node --authentication CHAP

   CHAP 要求启动器节点具有用户名和口令。用户名通常由目标用于查找给定用户名的密钥。在 Solaris 环境中，缺省情况下 CHAP 名称会始终设置为启动器节点名称。可以将 CHAP 名称设置为小于 512 字节的任意长度的文本。512 字节长度限制是 Solaris 限制。但是，如果未设置 CHAP 名称，则系统会在初始化时将其设置为启动器节点名称。

6. 双向 CHAP－在目标上启用双向验证参数。

   例如：

   # iscsiadm modify target-param -B enable eui.5000ABCD78945E2B

7. 双向 CHAP－在目标上将验证方法设置为 CHAP。

   例如：

   # iscsiadm modify target-param --authentication CHAP eui.5000ABCD78945E2B

8. 双向 CHAP－在目标上设置目标设备密钥。

   例如，以下命令将启动一个用于定义 CHAP 密钥的对话框。

   # iscsiadm modify target-param --CHAP-secret eui.5000ABCD78945E2B

9. 双向 CHAP－设置目标的 CHAP 名称。

   缺省情况下，目标的 CHAP 名称会设置为目标名称。

   可以使用以下命令来更改目标的 CHAP 名称。

   # iscsiadm modify target-param --CHAP-name target-CHAP-name