| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Administration d'Oracle Solaris : Périphériques et systèmes de fichiers Oracle Solaris 11 Information Library (Français) |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Administration d'Oracle Solaris : Périphériques et systèmes de fichiers Oracle Solaris 11 Information Library (Français) |
1. Gestion des médias amovibles (présentation)
2. Gestion des médias amovibles (tâches)
3. Accès aux médias amovibles (tâches)
4. Gravure de CD et DVD (tâches)
5. Gestion des périphériques (présentation/tâches)
6. Configuration dynamique des périphériques (tâches)
7. Utilisation de périphériques USB (présentation)
8. Utilisation de périphériques USB (tâches)
9. Utilisation de périphériques InfiniBand (présentation/tâches)
10. Gestion des disques (présentation)
11. Administration des disques (tâches)
12. Système SPARC : Configuration des disques (tâches)
13. Système x86 : Configuration des disques (tâches)
14. Configuration des périphériques de stockage avec COMSTAR
COMSTAR et la technologie iSCSI (présentation)
Configuration logicielle et matérielle requise pour COMSTAR
Configuration de COMSTAR (liste des tâches)
Configuration d'une détection statique ou dynamique de la cible
Configuration des périphériques iSCSI avec COMSTAR
Sauvegarde et restauration d'une configuration COMSTAR
Configuration d'un HCA IB pour iSER
Configuration d'un initiateur iSCSI
Suppression des cibles iSCSI détectées
Création de groupes de portails cible iSCSI
Création d'un groupe de portails cible pour les cibles iSCSI
Mise à disposition des unités logiques SCSI
Mise à disposition d'une unité logique pour tous les systèmes
Restriction de l'accès des LUN aux systèmes sélectionnés
Configuration des périphériques Fibre Channel avec COMSTAR
Configuration des ports Fibre Channel pour COMSTAR
Affichage des liaisons de port FC existantes
Définition de tous les ports FC sur un mode spécifique
Réglage des ports FC sélectionnés sur le mode initiateur ou cible
Mise à disposition des unités logiques pour FC et FCoE
Mise à disposition des unités logiques pour FC et FCoE
Configuration des périphériques FCoE avec COMSTAR
Activation de 802.3x PAUSE et des trames Jumbo sur l'interface Ethernet
Vérification du bon fonctionnement d'un port cible FCoE
Suppression des ports cible FCoE
Configuration des périphériques SRP avec COMSTAR
Utilisation des vues COMSTAR avec SRP
Activation du service cible SRP
Vérification du statut de la cible SRP
Configuration de l'authentification dans le réseau de stockage iSCSI
Configuration de l'authentification CHAP pour l'initiateur iSCSI
Configuration de l'authentification CHAP pour la cible iSCSI
Utilisation d'un serveur RADIUS tiers pour simplifier la gestion CHAP dans votre configuration iSCSI
Configuration d'un serveur RADIUS pour la cible iSCSI
Configuration d'un serveur RADIUS pour l'initiateur iSCSI
Messages d'erreur d'Oracle Solaris iSCSI et du serveur RADIUS
Configuration de périphériques à chemins d'accès multiples iSCSI dans Oracle Solaris
Activation de plusieurs sessions iSCSI pour une cible
Surveillance de la configuration iSCSI
Affichage des informations de configuration iSCSI
Modification des paramètres de l'initiateur et de la cible iSCSI
Modification des paramètres de l'initiateur et de la cible iSCSI
Résolution des problèmes de configuration iSCSI
Aucune connexion du système local à la cible iSCSI
Résolution des problèmes de connexion iSCSI
Périphérique iSCSI ou disque non disponible sur le système local
Résolution de l'indisponibilité du périphérique iSCSI ou disque
Utilisation du masquage LUN avec la méthode de détection iSNS
Messages d'erreur iSCSI généraux
15. Configuration et gestion du service Oracle Solaris iSNS (Internet Storage Name Service)
16. L'utilitaire format (référence)
17. Gestion des systèmes de fichiers (présentation)
18. Création et montage de systèmes de fichiers (tâches)
19. Extension de l'espace de swap (tâches)
20. Copie de fichiers et de systèmes de fichiers (tâches)
La configuration de l'authentification pour vos périphériques iSCSI est facultative.
Dans un environnement sécurisé, l'authentification n'est pas nécessaire car seuls les initiateurs de confiance peuvent accéder aux cibles.
Dans un environnement moins sécurisé, la cible ne peut pas déterminer si une demande de connexion provient vraiment d'un hôte donné. Dans ce cas, la cible peut authentifier un initiateur à l'aide du protocole CHAP (Challenge-Handshake Authentication Protocol).
L'authentification CHAP utilise la notion de demande et de réponse, ce qui signifie que la cible demande à l'initiateur de prouver son identité. Pour que la méthode de question/réponse fonctionne, la cible doit connaître la clé secrète de l'initiateur, et l'initiateur doit être configuré de manière à répondre à une question. Pour obtenir des instructions sur la configuration de la clé secrète sur la baie, reportez-vous à la documentation du fournisseur de la baie.
iSCSI prend en charge l'authentification unidirectionnelle et bidirectionnelle comme suit :
L'authentification unidirectionnelle permet à la cible d'authentifier l'identité de l'initiateur. L'authentification unidirectionnelle s'effectue au nom de la cible pour authentifier l'initiateur.
L'authentification bidirectionnelle ajoute un second niveau de sécurité en permettant à l'initiateur d'authentifier l'identité de la cible. L'authentification bidirectionnelle s'effectue à partir de l'initiateur, qui contrôle si l'authentification bidirectionnelle est réalisée. La seule exigence en termes de configuration pour la cible est que l'utilisateur CHAP et le code secret CHAP doivent être correctement définis.
Cette procédure suppose que vous êtes connecté au système local d'où vous souhaitez accéder en toute sécurité au périphérique cible iSCSI configuré.
La clé secrète CHAP pour la cible iSCSI COMSTAR doit comporter un minimum de 12 caractères et un maximum de 255 caractères. Certains initiateurs prennent uniquement en charge une longueur maximale plus courte pour la clé secrète.
Chaque noeud qui s'identifie lui-même à l'aide de CHAP doit comporter à la fois un nom d'utilisateur et un mot de passe. Dans l'environnement Oracle Solaris 11, le nom d'utilisateur CHAP est défini sur le nom du noeud initiateur ou cible (c'est-à-dire, le nom iqn) par défaut. Le nom d'utilisateur CHAP peut être défini sur n'importe quelle longueur de texte inférieure à 512 octets. La limite de longueur 512 octets est une restriction d'Oracle Solaris 11. Toutefois, si vous ne définissez pas le nom d'utilisateur CHAP, il est défini sur le nom de noeud lors de l'initialisation.
Vous pouvez simplifier la gestion de la clé secrète CHAP à l'aide d'un serveur RADIUS tiers, qui agit comme un service d'authentification centralisé. Lorsque vous utilisez RADIUS, le serveur RADIUS stocke l'ensemble des noms de noeud et les clés secrètes CHAP correspondantes. Le système effectuant l'authentification transmet le nom de noeud du demandeur et le code secret fourni au serveur RADIUS. Le serveur RADIUS vérifie que la clé secrète est la clé appropriée pour authentifier le nom de noeud spécifié. iSCSI et iSER prennent tous deux en charge l'utilisation d'un serveur RADIUS.
Pour plus d'informations sur l'utilisation d'un serveur RADIUS tiers, reportez-vous à la section Utilisation d'un serveur RADIUS tiers pour simplifier la gestion CHAP dans votre configuration iSCSI.
Pour plus d'informations, reportez-vous à la section Procédure d’obtention des droits d’administration du manuel Administration d’Oracle Solaris : services de sécurité.
L'authentification unidirectionnelle, qui est la méthode par défaut, permet à la cible de valider l'initiateur. Suivez les étapes 3 à 5 uniquement.
L'authentification bidirectionnelle ajoute un second niveau de sécurité en permettant à l'initiateur d'authentifier la cible. Suivez les étapes 3 à 9.
La commande suivante lance une boîte de dialogue qui permet de définir la clé secrète CHAP :
initiator# iscsiadm modify initiator-node --CHAP-secret Enter CHAP secret: ************ Re-enter secret: ************
Par défaut, le nom d'utilisateur CHAP de l'initiateur est défini sur le nom de noeud de l'initiateur.
Utilisez la commande suivante pour utiliser le nom d'utilisateur CHAP de votre initiateur :
initiator# iscsiadm modify initiator-node --CHAP-name new-CHAP-name
initiator# iscsiadm modify initiator-node --authentication CHAP
CHAP requiert à la fois un nom d'utilisateur et un mot de passe pour le noeud d'initiateur. Le nom d'utilisateur est généralement utilisé par la cible pour rechercher la clé secrète associée au nom d'utilisateur spécifié.
Activez le protocole CHAP bidirectionnel pour établir des connexions avec la cible.
initiator# iscsiadm modify target-param -B enable target-iqn
Désactivez le protocole CHAP bidirectionnel.
initiator# iscsiadm modify target-param -B disable target-iqn
initiator# iscsiadm modify target-param --authentication CHAP target-iqn
La commande suivante lance une boîte de dialogue qui permet de définir la clé secrète CHAP :
initiator# iscsiadm modify target-param --CHAP-secret target-iqn
Par défaut, le nom CHAP de la cible est réglé sur le nom de la cible.
Vous pouvez exécuter la commande suivante pour modifier le nom CHAP de la cible :
initiator# iscsiadm modify target-param --CHAP-name target-CHAP-name
Cette procédure suppose que vous êtes connecté au système local qui contient les cibles iSCSI.
L'authentification unidirectionnelle est la méthode par défaut. Suivez les étapes 3 à 5 uniquement.
Pour l'authentification bidirectionnelle. Suivez les étapes 3 à 7.
target# itadm modify-target -a chap target-iqn
Créez le contexte d'initiateur à l'aide du nom de noeud complet et de la clé secrète CHAP de l'initiateur.
target# itadm create-initiator -s initiator-iqn Enter CHAP secret: ************ Re-enter secret: ************
target# itadm modify-initiator -u initiator-CHAP-name initiator-iqn
target# itadm modify-target -s target-iqn Enter CHAP secret: ************ Re-enter secret: ************
target# itadm modify-target -u target-CHAP-name target-iqn
Vous pouvez utiliser un serveur RADIUS tiers qui agit comme un service d'authentification centralisé pour simplifier la gestion des clés secrètes CHAP. Avec cette méthode, il est recommandé d'utiliser le nom CHAP par défaut pour chaque noeud d'initiateur. Dans la plupart des cas, lorsque tous les initiateurs utilisent le nom CHAP par défaut, vous n'avez pas besoin de créer un contexte d'initiateur sur la cible.
Cette procédure suppose que vous êtes connecté au système local d'où vous souhaitez accéder en toute sécurité au périphérique cible iSCSI configuré.
Le port par défaut est 1812. Cette configuration s'effectue une fois pour toutes les cibles iSCSI du système cible.
initiator# itadm modify-defaults -r RADIUS-server-IP-address Enter RADIUS secret: ************ Re-enter secret: ************
initiator# itadm modify-defaults -d Enter RADIUS secret: ************ Re-enter secret: ************
Cette configuration peut être effectuée pour une cible spécifique ou en tant que valeur par défaut pour toutes les cibles.
initiator# itadm modify-target -a radius target-iqn
L'identité du noeud cible (par exemple, son adresse IP)
La clé secrète partagée que le noeud cible utilise pour communiquer avec le serveur RADIUS
Le nom CHAP de l'initiateur (par exemple, son nom iqn) et la clé secrète de chaque initiateur à authentifier
Vous pouvez utiliser un serveur RADIUS tiers qui agit comme un service d'authentification centralisé pour simplifier la gestion des clés secrètes CHAP. Cette configuration n'est utile que lorsque l'initiateur demande une authentification CHAP bidirectionnelle. Vous devez toujours spécifier la clé secrète CHAP de l'initiateur, mais il n'est pas obligatoire d'indiquer la clé secrète CHAP de chaque cible d'un initiateur lorsque vous utilisez l'authentification bidirectionnelle avec un serveur RADIUS. RADIUS peut être configuré indépendamment sur l'initiateur ou la cible. L'initiateur et la cible n'ont pas à utiliser RADIUS.
Le port par défaut est 1812.
# iscsiadm modify initiator-node --radius-server ip-address:1812
Le serveur RADIUS doit être configuré avec une clé secrète partagée pour iSCSI pour interagir avec le serveur.
# iscsiadm modify initiator-node --radius-shared-secret Enter secret: Re-enter secret
# iscsiadm modify initiator-node --radius-access enable
# iscsiadm modify initiator-node --authentication CHAP # iscsiadm modify target-param --bi-directional-authentication enable target-iqn # iscsiadm modify target-param --authentication CHAP target-iqn
L'identité de ce noeud (par exemple, son adresse IP)
La clé secrète partagée que ce noeud utilise pour communiquer avec le serveur RADIUS
Le nom CHAP de la cible (par exemple, son nom iqn) et la clé secrète de chaque cible à authentifier
Cette section décrit les messages d'erreur liés à la configuration d'Oracle Solaris iSCSI et d'un serveur RADIUS, ainsi que les solutions de restauration possibles.
empty RADIUS shared secret
Origine : Le serveur RADIUS est activé sur l'initiateur, mais la clé secrète partagée RADIUS n'est pas définie.
Solution : Configurez l'initiateur avec la clé secrète partagée RADIUS. Pour plus d'informations, reportez-vous à la section Configuration d'un serveur RADIUS pour la cible iSCSI.
WARNING: RADIUS packet authentication failed
Origine : L'initiateur n'a pas réussi à authentifier le paquet de données RADIUS. Cette erreur peut se produire si la clé secrète partagée configurée sur le noeud d'initiateur est différente de celle présente sur le serveur RADIUS.
Solution : Reconfigurez l'initiateur avec la clé secrète partagée RADIUS appropriée. Pour plus d'informations, reportez-vous à la section Configuration d'un serveur RADIUS pour la cible iSCSI.
|