탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1 관리: SAN 구성 및 다중 경로 Oracle Solaris 11.1 Information Library (한국어) |
Oracle Solaris iSCSI 소프트웨어 및 하드웨어 요구 사항 식별
iSCSI 개시자에 대해 CHAP 인증을 구성하는 방법
타사 RADIUS 서버를 사용하여 iSCSI 구성에서 CHAP 관리 단순화
iSCSI 대상에 대해 RADIUS 서버를 구성하는 방법
Oracle Solaris에서 iSCSI 다중 경로 장치 설정
대상에 대해 여러 iSCSI 세션을 사용으로 설정하는 방법
로컬 시스템에서 iSCSI 장치 또는 디스크를 사용할 수 없음
iSCSI 장치 또는 디스크를 사용할 수 없는 문제를 해결하는 방법
iSCSI 장치에 대한 인증 설정은 선택 사항입니다.
보안 환경에서는 신뢰할 수 있는 개시자만 대상에 액세스할 수 있기 때문에 인증이 필요 없습니다.
덜 안전한 환경에서는 대상이 지정된 호스트에서 연결 요청을 보낸 것인지 확인할 수 없습니다. 이 경우 대상이 CHAP(Challenge-Handshake Authentication Protocol)를 사용하여 개시자를 인증할 수 있습니다.
CHAP 인증은 챌린지 및 응답 방식을 사용하며, 이 경우 대상이 ID를 증명하도록 개시자를 챌린지합니다. 챌린지/응답 방법이 작동하려면 대상이 개시자의 보안 키를 알고 있어야 하며 챌린지에 응답하도록 개시자를 설정해야 합니다. 어레이의 보안 키 설정에 대한 지침은 어레이 공급업체의 설명서를 참조하십시오.
iSCSI는 다음과 같이 단방향 및 양방향 인증을 지원합니다.
단방향 인증을 사용하면 대상이 개시자의 ID를 인증할 수 있습니다. 단방향 인증은 대상 대신 개시자를 인증하기 위해 수행됩니다.
양방향 인증은 개시자가 대상의 ID를 인증할 수 있게 하여 두번째 보안 레벨을 추가합니다. 양방향 인증은 양방향 인증의 수행 여부를 제어하는 개시자에서 구동됩니다. 대상에 필요한 유일한 설정은 CHAP 사용자와 CHAP 보안을 올바르게 정의해야 한다는 것입니다.
이 절차에서는 구성된 iSCSI 대상 장치에 안전하게 액세스하려는 로컬 시스템에 로그인했다고 가정합니다.
COMSTAR iSCSI 대상에 대한 CHAP 보안 키의 길이는 최소 12자, 최대 255자여야 합니다. 일부 개시자에서 지원하는 보안 키의 최대 길이는 이보다 더 짧습니다.
CHAP를 사용하여 자신을 식별하는 각 노드에는 사용자 이름과 암호가 모두 있어야 합니다. Oracle Solaris OS에서는 CHAP 사용자 이름이 기본적으로 개시자 또는 대상 노드 이름(즉, iqn 이름)으로 설정됩니다. CHAP 사용자 이름은 512바이트보다 작은 임의 길이의 텍스트로 설정할 수 있습니다. 512바이트 길이 제한은 Oracle Solaris 제한입니다. 하지만 CHAP 사용자 이름을 설정하지 않을 경우 초기화 시 노드 이름으로 설정됩니다.
중앙 집중식 인증 서비스로 작동하는 타사 RADIUS 서버를 사용하여 CHAP 보안 키 관리를 단순화할 수 있습니다. RADIUS를 사용하는 경우 RADIUS 서버가 노드 이름 세트 및 일치하는 CHAP 보안 키를 저장합니다. 인증을 수행하는 시스템이 요청자의 노드 이름 및 요청자가 제공한 보안을 RADIUS 서버로 전달합니다. RADIUS 서버는 보안 키가 지정된 노드 이름을 인증하는 데 적합한 키인지 확인합니다. iSCSI와 iSER은 모두 RADIUS 서버 사용을 지원합니다.
타사 RADIUS 서버 사용에 대한 자세한 내용은 타사 RADIUS 서버를 사용하여 iSCSI 구성에서 CHAP 관리 단순화를 참조하십시오.
자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
기본 방법인 단방향 인증을 사용하면 대상이 개시자를 검증할 수 있습니다. 3-5단계만 완료합니다.
양방향 인증은 개시자가 대상을 인증할 수 있게 하여 두번째 보안 레벨을 추가합니다. 3-9단계를 완료합니다.
다음 명령은 CHAP 보안 키를 정의하는 대화 상자를 시작합니다.
initiator# iscsiadm modify initiator-node --CHAP-secret Enter CHAP secret: ************ Re-enter secret: ************
기본적으로 개시자의 CHAP 사용자 이름은 개시자 노드 이름으로 설정됩니다.
고유한 개시자 CHAP 사용자 이름을 사용하려면 다음 명령을 사용합니다.
initiator# iscsiadm modify initiator-node --CHAP-name new-CHAP-name
initiator# iscsiadm modify initiator-node --authentication CHAP
CHAP를 사용하려면 개시자 노드에 사용자 이름과 암호가 모두 있어야 합니다. 일반적으로 사용자 이름은 대상이 지정된 사용자 이름의 보안 키를 조회하는 데 사용됩니다.
대상과의 연결에 대해 양방향 CHAP를 사용으로 설정합니다.
initiator# iscsiadm modify target-param -B enable target-iqn
양방향 CHAP를 사용 안함으로 설정합니다.
initiator# iscsiadm modify target-param -B disable target-iqn
initiator# iscsiadm modify target-param --authentication CHAP target-iqn
다음 명령은 CHAP 보안 키를 정의하는 대화 상자를 시작합니다.
initiator# iscsiadm modify target-param --CHAP-secret target-iqn
기본적으로 대상의 CHAP 이름은 대상 이름으로 설정됩니다.
다음 명령을 사용하여 대상의 CHAP 이름을 변경할 수 있습니다.
initiator# iscsiadm modify target-param --CHAP-name target-CHAP-name
이 절차에서는 iSCSI 대상을 포함하는 로컬 시스템에 로그인했다고 가정합니다.
단방향 인증이 기본 방법입니다. 3-5단계만 완료합니다.
양방향 인증의 경우 3-7단계를 완료합니다.
target# itadm modify-target -a chap target-iqn
개시자의 전체 노드 이름과 개시자의 CHAP 보안 키를 사용하여 개시자 컨텍스트를 만듭니다.
target# itadm create-initiator -s initiator-iqn Enter CHAP secret: ************ Re-enter secret: ************
target# itadm modify-initiator -u initiator-CHAP-name initiator-iqn
target# itadm modify-target -s target-iqn Enter CHAP secret: ************ Re-enter secret: ************
target# itadm modify-target -u target-CHAP-name target-iqn
중앙 집중식 인증 서비스로 작동하는 타사 RADIUS 서버를 사용하여 CHAP 키 보안 관리를 단순화할 수 있습니다. 이 방법을 사용할 경우 각 개시자 노드에 기본 CHAP 이름을 사용하는 것이 좋습니다. 모든 개시자가 기본 CHAP 이름을 사용하는 일반적인 경우에서는 대상에 개시자 컨텍스트를 만들 필요가 없습니다.
중앙 집중식 인증 서비스로 작동하는 타사 RADIUS 서버를 사용하여 CHAP 키 보안 관리를 단순화할 수 있습니다. 이 방법을 사용할 경우 각 개시자 노드에 기본 CHAP 이름을 사용하는 것이 좋습니다. 모든 개시자가 기본 CHAP 이름을 사용하는 일반적인 경우에서는 대상에 개시자 컨텍스트를 만들 필요가 없습니다.
이 절차에서는 구성된 iSCSI 대상 장치에 안전하게 액세스하려는 로컬 시스템에 로그인했다고 가정합니다.
기본 포트는 1812입니다. 이 구성은 대상 시스템의 모든 iSCSI 대상에 대해 한 번 완료됩니다.
initiator# itadm modify-defaults -r RADIUS-server-IP-address Enter RADIUS secret: ************ Re-enter secret: ************
initiator# itadm modify-defaults -d Enter RADIUS secret: ************ Re-enter secret: ************
개별 대상에 대해 또는 모든 대상의 기본값으로 이 구성을 수행할 수 있습니다.
initiator# itadm modify-target -a radius target-iqn
대상 노드의 ID(예: IP 주소)
대상 노드가 RADIUS 서버와 통신하는 데 사용하는 공유 보안 키
개시자의 CHAP 이름(예: iqn 이름) 및 인증해야 하는 각 개시자의 보안 키
중앙 집중식 인증 서비스로 작동하는 타사 RADIUS 서버를 사용하여 CHAP 보안 키 관리를 단순화할 수 있습니다. 이 설정은 개시자가 양방향 CHAP 인증을 요청하는 경우에만 유용합니다. RADIUS 서버에 양방향 인증을 사용하는 경우 개시자의 CHAP 보안 키를 지정해야 하지만 개시자의 각 대상에 대한 CHAP 보안 키를 지정할 필요는 없습니다. 개시자 또는 대상에서 독립적으로 RADIUS를 구성할 수 있습니다. 개시자와 대상이 RADIUS를 사용하지 않아도 됩니다.
기본 포트는 1812입니다.
# iscsiadm modify initiator-node --radius-server ip-address:1812
iSCSI가 서버와 상호 작용하려면 공유 보안을 사용하여 RADIUS 서버를 구성해야 합니다.
# iscsiadm modify initiator-node --radius-shared-secret Enter secret: Re-enter secret
# iscsiadm modify initiator-node --radius-access enable
# iscsiadm modify initiator-node --authentication CHAP # iscsiadm modify target-param --bi-directional-authentication enable target-iqn # iscsiadm modify target-param --authentication CHAP target-iqn
이 노드의 ID(예: IP 주소)
이 노드가 RADIUS 서버와 통신하는 데 사용하는 공유 보안 키
대상의 CHAP 이름(예: iqn 이름) 및 인증해야 하는 각 대상의 보안 키
이 섹션에서는 Oracle Solaris iSCSI 및 RADIUS 서버 구성과 관련된 오류 메시지에 대해 설명합니다. 복구를 위한 잠재적 해결 방법도 제공됩니다.
empty RADIUS shared secret(빈 RADIUS 공유 보안)
원인: RADIUS 서버가 개시자에서 사용으로 설정되었지만 RADIUS 공유 보안 키가 설정되지 않았습니다.
해결책: RADIUS 공유 보안 키를 사용하여 개시자를 구성합니다. 자세한 내용은 iSCSI 대상에 대해 RADIUS 서버를 구성하는 방법을 참조하십시오.
WARNING: RADIUS packet authentication failed(경고: RADIUS 패킷 인증 실패)
원인: 개시자가 RADIUS 데이터 패킷을 인증하지 못했습니다. 이 오류는 개시자 노드에 구성된 공유 보안 키가 RADIUS 서버의 공유 보안 키와 다른 경우에 발생할 수 있습니다.
해결책: 올바른 RADIUS 공유 보안을 사용하여 개시자를 재구성합니다. 자세한 내용은 iSCSI 대상에 대해 RADIUS 서버를 구성하는 방법을 참조하십시오.