Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris 11.1 : Configuration d'un réseau de stockage et de la fonctionnalité multipathing Oracle Solaris 11.1 Information Library (Français) |
1. Présentation de la fonctionnalité multipathing d'E/S de Solaris
2. Présentation de la configuration de la fonctionnalité multipathing Fibre Channel
3. Configuration des fonctionnalités multipathing d'E/S de Solaris
4. Administration des périphériques à chemins d'accès multiples
5. Configuration des périphériques Fabric
6. Configuration des initiateurs Solaris iSCSI
Présentation de la technologie Oracle Solaris iSCSI
Configuration logicielle et matérielle requise par Oracle Solaris iSCSI
Tâches de configuration des initiateurs iSCSI
Terminologie afférente à iSCSI
Pratiques recommandées pour la configuration d'iSCSI
Configuration d'une détection statique ou dynamique de la cible
Configuration d'un initiateur iSCSI
Suppression des périphériques cible détectés
Configuration de l'authentification dans le réseau de stockage iSCSI
Configuration de l'authentification CHAP pour l'initiateur iSCSI
Configuration de l'authentification CHAP pour la cible iSCSI
Utilisation d'un serveur RADIUS tiers pour simplifier la gestion CHAP dans votre configuration iSCSI
Configuration d'un serveur RADIUS pour la cible iSCSI
Configuration d'un serveur RADIUS pour l'initiateur iSCSI
Messages d'erreur d'Oracle Solaris iSCSI et du serveur RADIUS
Configuration de périphériques à chemins d'accès multiples iSCSI dans Oracle Solaris
Activation de plusieurs sessions iSCSI pour une cible
Surveillance de la configuration iSCSI
Affichage des informations de configuration iSCSI
Modification des paramètres de l'initiateur et de la cible iSCSI
Modification des paramètres de l'initiateur et de la cible iSCSI
Résolution des problèmes de configuration iSCSI
Aucune connexion du système local à la cible iSCSI
Résolution des problèmes de connexion iSCSI
Périphérique iSCSI ou disque non disponible sur le système local
Résolution de l'indisponibilité du périphérique iSCSI ou disque
Utilisation du masquage LUN avec la méthode de détection iSNS
Messages d'erreur iSCSI généraux
7. Configuration de ports Fibre Channel virtuels
8. Configuration des ports FCoE
9. Configuration des domaines SAS
10. Configuration des périphériques de stockage IPFC
12. Liaison persistante des périphériques à bande
A. Configuration manuelle des périphériques Fabric
B. API HBA FC prises en charge
C. Dépannage des problèmes de périphérique à chemins d'accès multiples
La configuration de l'authentification pour vos périphériques iSCSI est facultative.
Dans un environnement sécurisé, l'authentification n'est pas nécessaire car seuls les initiateurs de confiance peuvent accéder aux cibles.
Dans un environnement moins sécurisé, la cible ne peut pas déterminer si une demande de connexion provient vraiment d'un hôte donné. Dans ce cas, la cible peut authentifier un initiateur à l'aide du protocole CHAP (Challenge-Handshake Authentication Protocol).
L'authentification CHAP utilise la notion de demande et de réponse, ce qui signifie que la cible demande à l'initiateur de prouver son identité. Pour que la méthode de question/réponse fonctionne, la cible doit connaître la clé secrète de l'initiateur, et l'initiateur doit être configuré de manière à répondre à une question. Pour obtenir des instructions sur la configuration de la clé secrète sur la baie, reportez-vous à la documentation du fournisseur de la baie.
iSCSI prend en charge l'authentification unidirectionnelle et bidirectionnelle comme suit :
L'authentification unidirectionnelle permet à la cible d'authentifier l'identité de l'initiateur. L'authentification unidirectionnelle s'effectue au nom de la cible pour authentifier l'initiateur.
L'authentification bidirectionnelle ajoute un second niveau de sécurité en permettant à l'initiateur d'authentifier l'identité de la cible. L'authentification bidirectionnelle s'effectue à partir de l'initiateur, qui contrôle si l'authentification bidirectionnelle est réalisée. La seule exigence en termes de configuration pour la cible est que l'utilisateur CHAP et le code secret CHAP doivent être correctement définis.
Cette procédure suppose que vous êtes connecté au système local d'où vous souhaitez accéder en toute sécurité au périphérique cible iSCSI configuré.
La clé secrète CHAP pour la cible iSCSI COMSTAR doit comporter un minimum de 12 caractères et un maximum de 255 caractères. Certains initiateurs prennent uniquement en charge une longueur maximale plus courte pour la clé secrète.
Chaque noeud qui s'identifie lui-même à l'aide de CHAP doit comporter à la fois un nom d'utilisateur et un mot de passe. Dans le SE Oracle Solaris, le nom d'utilisateur CHAP est défini sur le nom du noeud initiateur ou cible (c'est-à-dire, le nom iqn) par défaut. Le nom d'utilisateur CHAP peut être défini sur n'importe quelle longueur de texte inférieure à 512 octets. La longueur maximale de 512 octets est une restriction d'Oracle Solaris. Toutefois, si vous ne définissez pas le nom d'utilisateur CHAP, il est défini sur le nom de noeud lors de l'initialisation.
Vous pouvez simplifier la gestion de la clé secrète CHAP à l'aide d'un serveur RADIUS tiers, qui agit comme un service d'authentification centralisé. Lorsque vous utilisez RADIUS, le serveur RADIUS stocke l'ensemble des noms de noeud et les clés secrètes CHAP correspondantes. Le système effectuant l'authentification transmet le nom de noeud du demandeur et le code secret fourni au serveur RADIUS. Le serveur RADIUS vérifie que la clé secrète est la clé appropriée pour authentifier le nom de noeud spécifié. iSCSI et iSER prennent tous deux en charge l'utilisation d'un serveur RADIUS.
Pour plus d'informations sur l'utilisation d'un serveur RADIUS tiers, reportez-vous à la section Utilisation d'un serveur RADIUS tiers pour simplifier la gestion CHAP dans votre configuration iSCSI.
Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
L'authentification unidirectionnelle, qui est la méthode par défaut, permet à la cible de valider l'initiateur. Suivez les étapes 3 à 5 uniquement.
L'authentification bidirectionnelle ajoute un second niveau de sécurité en permettant à l'initiateur d'authentifier la cible. Suivez les étapes 3 à 9.
La commande suivante lance une boîte de dialogue qui permet de définir la clé secrète CHAP :
initiator# iscsiadm modify initiator-node --CHAP-secret Enter CHAP secret: ************ Re-enter secret: ************
Par défaut, le nom d'utilisateur CHAP de l'initiateur est défini sur le nom de noeud de l'initiateur.
Utilisez la commande suivante pour utiliser le nom d'utilisateur CHAP de votre initiateur :
initiator# iscsiadm modify initiator-node --CHAP-name new-CHAP-name
initiator# iscsiadm modify initiator-node --authentication CHAP
CHAP requiert à la fois un nom d'utilisateur et un mot de passe pour le noeud d'initiateur. Le nom d'utilisateur est généralement utilisé par la cible pour rechercher la clé secrète associée au nom d'utilisateur spécifié.
Activez le protocole CHAP bidirectionnel pour établir des connexions avec la cible.
initiator# iscsiadm modify target-param -B enable target-iqn
Désactivez le protocole CHAP bidirectionnel.
initiator# iscsiadm modify target-param -B disable target-iqn
initiator# iscsiadm modify target-param --authentication CHAP target-iqn
La commande suivante lance une boîte de dialogue qui permet de définir la clé secrète CHAP :
initiator# iscsiadm modify target-param --CHAP-secret target-iqn
Par défaut, le nom CHAP de la cible est réglé sur le nom de la cible.
Vous pouvez exécuter la commande suivante pour modifier le nom CHAP de la cible :
initiator# iscsiadm modify target-param --CHAP-name target-CHAP-name
Cette procédure suppose que vous êtes connecté au système local qui contient les cibles iSCSI.
L'authentification unidirectionnelle est la méthode par défaut. Suivez les étapes 3 à 5 uniquement.
Pour l'authentification bidirectionnelle. Suivez les étapes 3 à 7.
target# itadm modify-target -a chap target-iqn
Créez le contexte d'initiateur à l'aide du nom de noeud complet et de la clé secrète CHAP de l'initiateur.
target# itadm create-initiator -s initiator-iqn Enter CHAP secret: ************ Re-enter secret: ************
target# itadm modify-initiator -u initiator-CHAP-name initiator-iqn
target# itadm modify-target -s target-iqn Enter CHAP secret: ************ Re-enter secret: ************
target# itadm modify-target -u target-CHAP-name target-iqn
Vous pouvez utiliser un serveur RADIUS tiers qui agit comme un service d'authentification centralisé pour simplifier la gestion des clés secrètes CHAP. Avec cette méthode, il est recommandé d'utiliser le nom CHAP par défaut pour chaque noeud d'initiateur. Dans la plupart des cas, lorsque tous les initiateurs utilisent le nom CHAP par défaut, vous n'avez pas besoin de créer un contexte d'initiateur sur la cible.
Vous pouvez utiliser un serveur RADIUS tiers qui agit comme un service d'authentification centralisé pour simplifier la gestion des clés secrètes CHAP. Avec cette méthode, il est recommandé d'utiliser le nom CHAP par défaut pour chaque noeud d'initiateur. Dans la plupart des cas, lorsque tous les initiateurs utilisent le nom CHAP par défaut, vous n'avez pas besoin de créer un contexte d'initiateur sur la cible.
Cette procédure suppose que vous êtes connecté au système local d'où vous souhaitez accéder en toute sécurité au périphérique cible iSCSI configuré.
Le port par défaut est 1812. Cette configuration s'effectue une fois pour toutes les cibles iSCSI du système cible.
initiator# itadm modify-defaults -r RADIUS-server-IP-address Enter RADIUS secret: ************ Re-enter secret: ************
initiator# itadm modify-defaults -d Enter RADIUS secret: ************ Re-enter secret: ************
Cette configuration peut être effectuée pour une cible spécifique ou en tant que valeur par défaut pour toutes les cibles.
initiator# itadm modify-target -a radius target-iqn
L'identité du noeud cible (par exemple, son adresse IP)
La clé secrète partagée que le noeud cible utilise pour communiquer avec le serveur RADIUS
Le nom CHAP de l'initiateur (par exemple, son nom iqn) et la clé secrète de chaque initiateur à authentifier
Vous pouvez utiliser un serveur RADIUS tiers qui agit comme un service d'authentification centralisé pour simplifier la gestion des clés secrètes CHAP. Cette configuration n'est utile que lorsque l'initiateur demande une authentification CHAP bidirectionnelle. Vous devez toujours spécifier la clé secrète CHAP de l'initiateur, mais il n'est pas obligatoire d'indiquer la clé secrète CHAP de chaque cible d'un initiateur lorsque vous utilisez l'authentification bidirectionnelle avec un serveur RADIUS. RADIUS peut être configuré indépendamment sur l'initiateur ou la cible. L'initiateur et la cible n'ont pas à utiliser RADIUS.
Le port par défaut est 1812.
# iscsiadm modify initiator-node --radius-server ip-address:1812
Le serveur RADIUS doit être configuré avec une clé secrète partagée pour iSCSI pour interagir avec le serveur.
# iscsiadm modify initiator-node --radius-shared-secret Enter secret: Re-enter secret
# iscsiadm modify initiator-node --radius-access enable
# iscsiadm modify initiator-node --authentication CHAP # iscsiadm modify target-param --bi-directional-authentication enable target-iqn # iscsiadm modify target-param --authentication CHAP target-iqn
L'identité de ce noeud (par exemple, son adresse IP)
La clé secrète partagée que ce noeud utilise pour communiquer avec le serveur RADIUS
Le nom CHAP de la cible (par exemple, son nom iqn) et la clé secrète de chaque cible à authentifier
Cette section décrit les messages d'erreur liés à la configuration d'Oracle Solaris iSCSI et d'un serveur RADIUS, ainsi que les solutions de restauration possibles.
empty RADIUS shared secret
Origine : Le serveur RADIUS est activé sur l'initiateur, mais la clé secrète partagée RADIUS n'est pas définie.
Solution : Configurez l'initiateur avec la clé secrète partagée RADIUS. Pour plus d'informations, reportez-vous à la section Configuration d'un serveur RADIUS pour la cible iSCSI.
WARNING: RADIUS packet authentication failed
Origine : L'initiateur n'a pas réussi à authentifier le paquet de données RADIUS. Cette erreur peut se produire si la clé secrète partagée configurée sur le noeud d'initiateur est différente de celle présente sur le serveur RADIUS.
Solution : Reconfigurez l'initiateur avec la clé secrète partagée RADIUS appropriée. Pour plus d'informations, reportez-vous à la section Configuration d'un serveur RADIUS pour la cible iSCSI.