Omitir V�nculos de navegaci�n | |
Salir de la Vista de impresi�n | |
Administración de Oracle Solaris: dispositivos y sistemas de archivos Oracle Solaris 11 Information Library (Español) |
1. Gestión de medios extraíbles (descripción general)
2. Gestión de medios extraíbles (tareas)
3. Acceso a medios extraíbles (tareas)
4. Grabación de CD y DVD (tareas)
5. Administración de dispositivos (descripción general/tareas)
6. Configuración dinámica de dispositivos (tareas)
7. Uso de dispositivos USB (descripción general)
8. Uso de dispositivos USB (tareas)
9. Uso de dispositivos InfiniBand (descripción general/tareas)
10. Gestión de discos (descripción general)
11. Administración de discos (tareas)
12. SPARC: configuración de discos (tareas)
13. X86: configuración de discos (tareas)
14. Configuración de dispositivos de almacenamiento con COMSTAR
COMSTAR y tecnología iSCSI (descripción general)
Requisitos de software y hardware de COMSTAR
Configuración de COMSTAR (mapa de tareas)
Configuración de detección de destinos dinámica o estática
Configuración de dispositivos iSCSI con COMSTAR
Cómo habilitar el servicio STMF
Cómo realizar la copia de seguridad de una configuración de COMSTAR y restaurarla
Cómo configurar un HCA IB para iSER
Cómo configurar un iniciador iSCSI
Cómo eliminar destinos iSCSI detectados
Creación de grupos de portales de destino iSCSI
Cómo crear un grupo de portales de destino para destinos iSCSI
Disponibilidad de unidades lógicas SCSI
Cómo hacer que una unidad lógica esté disponible para todos los sistemas
Cómo restringir el acceso de LUN a sistemas seleccionados
Configuración de dispositivos de canal de fibra con COMSTAR
Configuración de puertos de canal de fibra para COMSTAR
Cómo visualizar enlaces de puertos FC existentes
Cómo definir todos los puertos FC en un modo concreto
Cómo establecer puertos FC seleccionados en modo de destino o iniciador
Disponibilidad de unidades lógicas para FC y FCoE
Cómo hacer que unidades lógicas estén disponibles para FC y FCoE
Configuración de dispositivos FCoE con COMSTAR
Habilitación de tramas gigantes y tramas de pausa 802.3x en la interfaz Ethernet
Cómo crear puertos de destino FCoE
Cómo verificar que un puerto de destino FCoE esté funcionando
Cómo eliminar puertos de destino FCoE
Configuración de dispositivos SRP con COMSTAR
Cómo habilitar el servicio de destino SRP
Cómo verificar el estado de destino SRP
Configuración de la autenticación en su red de almacenamiento basada en iSCSI
Cómo configurar la autenticación CHAP para su iniciador iSCSI
Cómo configurar la autenticación CHAP para su destino iSCSI
Cómo configurar un servidor RADIUS para el destino iSCSI
Cómo configurar un servidor RADIUS para el iniciador iSCSI
Mensajes de error de servidor RADIUS e iSCSI de Oracle Solaris
Configuración de dispositivos iSCSI con varias rutas en Oracle Solaris
Cómo habilitar varias sesiones iSCSI para un destino
Supervisión de configuración de iSCSI
Cómo visualizar información de configuración de iSCSI
Modificación de parámetros de destino e iniciador iSCSI
Cómo ajustar los parámetros de iSCSI
Cómo modificar parámetros de destino e iniciador iSCSI
Solución de problemas de configuración de iSCSI
Sin conexiones al destino iSCSI desde el sistema local
Cómo solucionar problemas de conexión de iSCSI
Disco o dispositivo iSCSI no disponible en el sistema local
Cómo solucionar problemas de no disponibilidad de discos o dispositivos iSCSI
Uso del enmascaramiento de LUN cuando se utiliza el método de detección iSNS
Mensajes de error generales de iSCSI
16. La utilidad format (referencia)
17. Gestión de sistemas de archivos (descripción general)
18. Creación y montaje de sistemas de archivos (tareas)
19. Configuración de espacio de intercambio adicional (tareas)
20. Copia de archivos y sistemas de archivos (tareas)
La configuración de la autentificación para sus dispositivos iSCSI es opcional.
En un entorno seguro, no es necesaria la autenticación, porque sólo los iniciadores de confianza pueden acceder a los destinos.
En un entorno menos seguro, el destino no puede determinar si una solicitud de conexión es realmente de un host determinado. En ese caso, el destino puede autenticar un iniciador mediante el protocolo de autenticación por desafío mutuo (CHAP).
La autenticación CHAP utiliza la noción de un desafío y una respuesta, lo que significa que el destino desafía al iniciador para que demuestre su identidad. Para que el método de desafío/respuesta funcione, el destino debe conocer la clave secreta del iniciador, y el iniciador se debe configurar para responder a un desafío. Consulte la documentación del proveedor de la matriz para obtener instrucciones sobre la configuración de la clave secreta en la matriz.
iSCSI admite la autenticación unidireccional y bidireccional, como se indica a continuación:
Autenticación unidireccional: permite que el destino autentique la identidad del iniciador. La autenticación unidireccional se lleva a cabo en nombre del destino para autenticar el iniciador.
Autenticación bidireccional: agrega un segundo nivel de seguridad permitiendo al iniciador que autentique la identidad del destino. La autenticación bidireccional se controla desde el iniciador, que controla si se realiza la autenticación bidireccional. La única configuración necesaria para el destino es que el usuario de CHAP y el secreto de CHAP deben estar definidos correctamente.
En este procedimiento, se asume que ha iniciado sesión en el sistema local donde desea acceder de forma segura al dispositivo de destino iSCSI configurado.
La longitud de la clave secreta CHAP para el destino iSCSI de COMSTAR debe tener un mínimo de 12 caracteres y un máximo de 255 caracteres. Algunos iniciadores admiten solamente una longitud máxima más corta para la clave secreta.
Cada nodo identificándose mediante CHAP debe tener un nombre de usuario y una contraseña. En el entorno de Oracle Solaris 11, el nombre de usuario de CHAP se establece en el nombre de nodo de destino o iniciador (es decir, el nombre iqn) de manera predeterminada. El nombre de usuario de CHAP se puede establecer en cualquier longitud del texto que sea inferior a 512 bytes. El límite de longitud de 512 bytes es una limitación de Oracle Solaris 11. Sin embargo, si no establece el nombre de usuario de CHAP, se establece en el nombre de nodo tras la inicialización.
Puede simplificar la gestión de claves secretas de CHAP mediante un servidor RADIUS de terceros, que actúa como un servicio de autenticación centralizado. Al utilizar RADIUS, el servidor RADIUS almacena el conjunto de nombres de nodo y las claves secretas de CHAP coincidentes. El sistema que realiza la autenticación reenvía el nombre de nodo del solicitante y el secreto suministrado del solicitante al servidor RADIUS. El servidor RADIUS confirma si la clave secreta es la clave adecuada para autenticar el nombre de nodo determinado. Tanto iSCSI como iSER admiten el uso de un servidor RADIUS.
Para obtener más información sobre el uso de un servidor RADIUS de terceros, consulte Uso de un servidor RADIUS de terceros para simplificar la gestión de CHAP en la configuración de iSCSI.
Para obtener más información, consulte Cómo obtener derechos administrativos de Administración de Oracle Solaris: servicios de seguridad.
La autenticación unidireccional, que es el método predeterminado, permite que el destino valide el iniciador. Complete los pasos 3 a 5 solamente.
La autenticación bidireccional agrega un segundo nivel de seguridad permitiendo al iniciador que autentique el destino. Complete los pasos 3 a 9.
El siguiente comando inicia un diálogo para definir la clave secreta de CHAP:
initiator# iscsiadm modify initiator-node --CHAP-secret Enter CHAP secret: ************ Re-enter secret: ************
De manera predeterminada, el nombre de usuario de CHAP del iniciador se establece en el nombre de nodo del iniciador.
Utilice el siguiente comando para utilizar su propio nombre de usuario de CHAP del iniciador:
initiator# iscsiadm modify initiator-node --CHAP-name new-CHAP-name
initiator# iscsiadm modify initiator-node --authentication CHAP
CHAP requiere que el nodo de iniciador tenga un nombre de usuario y una contraseña. El nombre de usuario es utilizado, normalmente, por el destino para buscar la clave secreta del nombre de usuario determinado.
Habilite el CHAP bidireccional para las conexiones con el destino.
initiator# iscsiadm modify target-param -B enable target-iqn
Deshabilite el CHAP bidireccional.
initiator# iscsiadm modify target-param -B disable target-iqn
initiator# iscsiadm modify target-param --authentication CHAP target-iqn
El siguiente comando inicia un diálogo para definir la clave secreta de CHAP:
initiator# iscsiadm modify target-param --CHAP-secret target-iqn
De manera predeterminada, el nombre de CHAP del destino se establece en el nombre de destino.
Puede utilizar el siguiente comando para cambiar el nombre de CHAP del destino:
initiator# iscsiadm modify target-param --CHAP-name target-CHAP-name
En este procedimiento, se asume que ha iniciado sesión en el sistema local que contiene los destinos iSCSI.
La autenticación unidireccional es el método predeterminado. Complete los pasos 3 a 5 solamente.
Para autenticación bidireccional. Complete los pasos 3 a 7.
target# itadm modify-target -a chap target-iqn
Cree el contexto de iniciador con el nombre de nodo completo del iniciador y con la clave secreta de CHAP del iniciador.
target# itadm create-initiator -s initiator-iqn Enter CHAP secret: ************ Re-enter secret: ************
target# itadm modify-initiator -u initiator-CHAP-name initiator-iqn
target# itadm modify-target -s target-iqn Enter CHAP secret: ************ Re-enter secret: ************
target# itadm modify-target -u target-CHAP-name target-iqn
Puede utilizar un servidor RADIUS de terceros que actúa como un servicio de autenticación centralizado para simplificar la gestión de claves secretas de CHAP. Con este método, la práctica recomendada es utilizar el nombre de CHAP predeterminado para cada nodo de iniciador. En el caso común cuando todos iniciadores están utilizando el nombre de CHAP predeterminado, no tiene que crear contextos de iniciador en el destino.
En este procedimiento, se asume que ha iniciado sesión en el sistema local donde desea acceder de forma segura al dispositivo de destino iSCSI configurado.
El puerto predeterminado es 1812. Esta configuración se completa una vez para todos los destinos iSCSI en el sistema de destino.
initiator# itadm modify-defaults -r RADIUS-server-IP-address Enter RADIUS secret: ************ Re-enter secret: ************
initiator# itadm modify-defaults -d Enter RADIUS secret: ************ Re-enter secret: ************
Esta configuración se puede realizar para un destino individual o como un valor predeterminado para todos los destinos.
initiator# itadm modify-target -a radius target-iqn
La identidad del nodo de destino (por ejemplo, su dirección IP)
La clave secreta compartida que el nodo de destino utiliza para comunicarse con el servidor RADIUS
El nombre de CHAP del iniciador (por ejemplo, su nombre iqn) y la clave secreta para cada iniciador que se debe autenticar
Puede utilizar un servidor RADIUS de terceros que actúa como un servicio de autenticación centralizado para simplificar la gestión de claves secretas de CHAP. Esta configuración sólo es útil cuando el iniciador solicita la autenticación CHAP bidireccional. Debe especificar la clave secreta de CHAP del iniciador, pero no es necesario que especifique la clave secreta de CHAP para cada destino en un iniciador al utilizar la autenticación bidireccional con un servidor RADIUS. El RADIUS se puede configurar de manera independiente en el iniciador o en el destino. El iniciador y el destino no tienen que utilizar RADIUS.
El puerto predeterminado es 1812.
# iscsiadm modify initiator-node --radius-server ip-address:1812
El servidor RADIUS se debe configurar con un secreto compartido para que iSCSI interaccione con el servidor.
# iscsiadm modify initiator-node --radius-shared-secret Enter secret: Re-enter secret
# iscsiadm modify initiator-node --radius-access enable
# iscsiadm modify initiator-node --authentication CHAP # iscsiadm modify target-param --bi-directional-authentication enable target-iqn # iscsiadm modify target-param --authentication CHAP target-iqn
La identidad de este nodo (por ejemplo, su dirección IP)
La clave secreta compartida que este nodo utiliza para comunicarse con el servidor RADIUS
El·nombre·de·CHAP·del destino (por ejemplo, su nombre iqn) y la clave secreta para cada destino que se debe autenticar
En esta sección, se describen los mensajes de error que están relacionados con una configuración de servidor RADIUS e iSCSI de Oracle Solaris. También se proporcionan posibles soluciones para la recuperación.
empty RADIUS shared secret
Causa: El servidor RADIUS está habilitado en el iniciador, pero la calve secreta compartida de RADIUS no está definida.
Solución: Configure el iniciador con la clave secreta compartida de RADIUS. Para obtener más información, consulte Cómo configurar un servidor RADIUS para el destino iSCSI.
WARNING: RADIUS packet authentication failed
Causa: El iniciador no pudo autenticar el paquete de datos RADIUS. Este error puede ocurrir si la clave secreta compartida que se configura en el nodo de iniciador es diferente de la clave secreta compartida en el servidor RADIUS.
Solución: Vuelva a configurar el iniciador con el secreto compartido RADIUS correcto. Para obtener más información, consulte Cómo configurar un servidor RADIUS para el destino iSCSI.