ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris の管理: デバイスとファイルシステム Oracle Solaris 11 Information Library (日本語) |
iSCSI ターゲット用のターゲットポータルグループを作成する方法
選択した FC ポートをイニシエータまたはターゲットモードに設定する方法
Ethernet インタフェース上で 802.3x PAUSE およびジャンボフレームを有効にする
iSCSI ベースのストレージネットワークにおける認証の構成
他社製の RADIUS サーバーを使用して iSCSI 構成内の CHAP 管理を単純化する
RADIUS サーバーを iSCSI ターゲット用に構成する方法
Oracle Solaris での iSCSI マルチパスデバイスの設定
iSCSI イニシエータと iSCSI ターゲットのパラメータの変更
iSCSI イニシエータと iSCSI ターゲットのパラメータを変更する方法
ローカルシステム上で iSCSI デバイスまたは iSCSI ディスクが利用できない
iSCSI デバイスまたは iSCSI ディスクが利用できない問題の障害追跡を行う方法
15. Oracle Solaris Internet Storage Name Service (iSNS) の構成と管理
iSCSI デバイスの認証設定は省略可能です。
セキュリティー保護された環境では、信頼できるイニシエータだけがターゲットにアクセスできるため、認証は必要ありません。
セキュリティー保護の不十分な環境では、ターゲットは、接続要求が本当に指定されたホストからのものなのかを判断できません。そのような場合、ターゲットは、チャレンジハンドシェーク認証プロトコル (CHAP) を使ってイニシエータを認証できます。
CHAP 認証では「チャレンジ」と「応答」の概念が使用され、つまり、ターゲットがイニシエータに対して身元の証明を要求します。このチャレンジ / 応答方式が機能するには、ターゲットがイニシエータの秘密鍵を知っており、かつイニシエータがチャレンジに応答するように設定されている必要があります。秘密鍵をアレイ上に設定する手順については、アレイのベンダーのドキュメントを参照してください。
iSCSI は、次の単方向および双方向の認証をサポートします。
「単方向認証」では、ターゲットがイニシエータの身元を認証できます。単方向認証はターゲットのために行われるもので、イニシエータを認証します。
「双方向認証」では、イニシエータがターゲットの身元を認証できるようにすることで、二次レベルのセキュリティーを追加します。双方向認証はイニシエータ主導で行われ、双方向認証を実行するかどうかはイニシエータにより制御されます。ターゲットに求められる設定は、CHAP ユーザーと CHAP シークレットを正しく定義することだけです。
この手順では、ユーザーが現在ログインしているローカルシステムから構成済みの iSCSI ターゲットデバイスに安全にアクセスするものとします。
COMSTAR iSCSI ターゲットの CHAP 秘密鍵の長さは、12 文字以上かつ 255 文字以下にする必要があります。一部のイニシエータでは、サポートする秘密鍵の最大長がさらに短くなります。
自らの識別に CHAP を使用する各ノードは、ユーザー名とパスワードの両方が必要です。Oracle Solaris 11 環境では、CHAP ユーザー名はデフォルトでイニシエータまたはターゲットのノード名 (つまり、iqn 名) に設定されます。CHAP ユーザー名は、512 バイト未満の任意の長さのテキストに設定できます。512 バイトの長さの制限は Oracle Solaris 11 の制限です。ただし、CHAP ユーザー名を設定しない場合は、初期化のときにノード名に設定されます。
集中管理認証サービスとして機能する他社製の RADIUS サーバーを使用することで、CHAP 秘密鍵の管理を簡略化できます。RADIUS を使用するときに、RADIUS サーバーにはノード名と、一致する CHAP 秘密鍵のセットが格納されます。認証を実行するシステムは、要求元のノード名および提供された要求者のシークレットを RADIUS サーバーに転送します。RADIUS サーバーは、秘密鍵が、指定されたモード名を認証するのに適切な鍵かどうかを確認します。iSCSI と iSER のどちらも、RADIUS サーバーの使用をサポートします。
他社製の RADIUS サーバーの使用に関する詳細は、「他社製の RADIUS サーバーを使用して iSCSI 構成内の CHAP 管理を単純化する」を参照してください。
詳細は、『Oracle Solaris の管理: セキュリティーサービス』の「管理権限を取得する方法」を参照してください。
単方向認証 (デフォルトの方式) では、ターゲットがイニシエータを検証できます。手順 3 から 5 のみを実行してください。
双方向認証では、二次レベルのセキュリティーを追加する目的で、イニシエータがターゲットを認証することできます。手順 3 から 9 を実行してください。
次のコマンドは、CHAP の秘密鍵を定義するためのダイアログを起動します。
initiator# iscsiadm modify initiator-node --CHAP-secret Enter CHAP secret: ************ Re-enter secret: ************
デフォルトではイニシエータの CHAP ユーザー名は、イニシエータのノード名に設定されます。
次のコマンドを使用して、独自のイニシエータ CHAP ユーザー名を使用します。
initiator# iscsiadm modify initiator-node --CHAP-name new-CHAP-name
initiator# iscsiadm modify initiator-node --authentication CHAP
CHAP 認証では、イニシエータノードにユーザー名とパスワードが必要です。ユーザー名は通常、渡されたユーザー名の秘密鍵をターゲットが検索するために使用されます。
ターゲットとの接続用に双方向 CHAP を有効にします。
initiator# iscsiadm modify target-param -B enable target-iqn
双方向 CHAP を無効にします。
initiator# iscsiadm modify target-param -B disable target-iqn
initiator# iscsiadm modify target-param --authentication CHAP target-iqn
次のコマンドは、CHAP の秘密鍵を定義するためのダイアログを起動します。
initiator# iscsiadm modify target-param --CHAP-secret target-iqn
デフォルトでは、ターゲットの CHAP 名はターゲット名に設定されます。
次のコマンドを使用して、ターゲットの CHAP 名を変更できます。
initiator# iscsiadm modify target-param --CHAP-name target-CHAP-name
この手順では、iSCSI ターゲットのあるローカルシステムにユーザーがログインしているものとします。
単方向認証がデフォルト方式です。手順 3 から 5 のみを実行してください。
双方向認証の場合。手順 3 から 7 を実行してください。
target# itadm modify-target -a chap target-iqn
イニシエータのフルノード名とイニシエータの CHAP 秘密鍵を使って、イニシエータコンテキストを作成します。
target# itadm create-initiator -s initiator-iqn Enter CHAP secret: ************ Re-enter secret: ************
target# itadm modify-initiator -u initiator-CHAP-name initiator-iqn
target# itadm modify-target -s target-iqn Enter CHAP secret: ************ Re-enter secret: ************
target# itadm modify-target -u target-CHAP-name target-iqn
集中管理認証サービスとして機能する他社製の RADIUS サーバーを使用して、CHAP 秘密鍵の管理を簡略化できます。この方式では、各イニシエータノードでデフォルトの CHAP 名を使用することをお勧めします。すべてのイニシエータがデフォルトの CHAP 名を使用するという一般的な場合では、ターゲット上にイニシエータコンテキストを作成する必要はありません。
この手順では、ユーザーが現在ログインしているローカルシステムから構成済みの iSCSI ターゲットデバイスに安全にアクセスするものとします。
デフォルトのポートは 1812 です。この構成は、ターゲットシステム上のすべての iSCSI ターゲットに対して 1 回で完了します。
initiator# itadm modify-defaults -r RADIUS-server-IP-address Enter RADIUS secret: ************ Re-enter secret: ************
initiator# itadm modify-defaults -d Enter RADIUS secret: ************ Re-enter secret: ************
この構成は、個別のターゲットに実行することも、すべてのターゲットのデフォルトとして実行することもできます。
initiator# itadm modify-target -a radius target-iqn
ターゲットノードの識別情報 (IP アドレスなど)
ターゲットノードが RADIUS サーバーとの通信に使用する共有秘密鍵
イニシエータの CHAP 名 (たとえば、iqn 名)、および認証の必要な各イニシエータの秘密鍵
集中管理認証サービスとして機能する他社製の RADIUS サーバーを使用して、CHAP 秘密鍵の管理を簡略化できます。この設定が役に立つのは、イニシエータが双方向 CHAP 認証を要求しているときだけです。それでも、イニシエータの CHAP 秘密鍵を指定する必要があります。ただし、RADIUS サーバーとの双方向認証を使用しているときは、イニシエータ上の各ターゲットの CHAP 秘密鍵を指定する必要はありません。RADIUS は、イニシエータまたはターゲットのいずれかの上に独立して構成できます。イニシエータおよびターゲットは、RADIUS を使用する必要はありません。
デフォルトのポートは 1812 です。
# iscsiadm modify initiator-node --radius-server ip-address:1812
iSCSI がサーバーとの対話処理を実行するためには、共有シークレットを使って RADIUS サーバーを構成する必要があります。
# iscsiadm modify initiator-node --radius-shared-secret Enter secret: Re-enter secret
# iscsiadm modify initiator-node --radius-access enable
# iscsiadm modify initiator-node --authentication CHAP # iscsiadm modify target-param --bi-directional-authentication enable target-iqn # iscsiadm modify target-param --authentication CHAP target-iqn
このノードの識別情報 (IP アドレスなど)
このノードが RADIUS サーバーとの通信に使用する共有秘密鍵
ターゲットの CHAP 名 (たとえば、iqn 名)、および認証の必要な各ターゲットの秘密鍵
このセクションでは、Oracle Solaris iSCSI と RADIUS サーバーの構成に関するエラーメッセージについて説明します。復旧に役立つと思われるソリューションも提供します。
empty RADIUS shared secret
原因: イニシエータ上で RADIUS サーバーが有効になっているにもかかわらず、RADIUS の共有秘密鍵が設定されていません。
対処方法: RADIUS の共有秘密鍵をイニシエータに構成します。詳細は、「RADIUS サーバーを iSCSI ターゲット用に構成する方法」を参照してください。
WARNING: RADIUS packet authentication failed
原因: イニシエータによる RADIUS データパケットの認証が失敗しました。このエラーが発生する可能性があるのは、イニシエータノード上に構成された共有秘密鍵が RADIUS サーバー上の共有秘密鍵と異なっている場合です。
対処方法: 正しい RADIUS 共有シークレットをイニシエータに構成し直します。詳細は、「RADIUS サーバーを iSCSI ターゲット用に構成する方法」を参照してください。