跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 11.1 管理:SAN 配置和多路径 Oracle Solaris 11.1 Information Library (简体中文) |
确定 Oracle Solaris iSCSI 软件和硬件要求
为 iSCSI 设备设置验证是可选的。
在安全环境下,由于仅有受信任的启动器才能访问目标,因此不需要进行验证。
在安全性较低的环境中,目标不能确定连接请求是否真正来自给定主机。在这种情况下,目标可以使用质询握手身份验证协议 (Challenge-Handshake Authentication Protocol, CHAP) 来验证启动器。
CHAP 验证使用质询和响应的概念,这意味着目标将质询启动器以查验其身份。要使质询/响应方法可行,目标必须知道启动器的密钥,并且必须将启动器设置为响应质询。有关在数组中设置密钥的说明,请参阅数组供应商的文档。
iSCSI 支持单向和双向验证,如下:
单向验证使目标可以验证启动器的身份。单向验证代表目标验证启动器。
双向验证通过使启动器可以验证目标身份,提供了更高级别的安全性。双向验证由启动器驱动,控制是否执行了双向验证。该目标唯一所需的设置是必须正确定义 chap 用户和 chap 机密。
此过程假定您已登录到本地系统,并且要在此系统中安全地访问已配置的 iSCSI 目标设备。
COMSTAR iSCSI 目标的 CHAP 密钥长度必须最少为 12 个字符,最多为 255 个字符。有些启动器只支持少于最大长度的密钥。
使用 CHAP 识别自己的每个节点必须具有用户名和口令。缺省情况下,在 Oracle Solaris OS 中会将 CHAP 用户名设置为启动器或目标节点名称(即 iqn 名称)。可以将 CHAP 用户名设置为小于 512 个字节的任意长度的文本。512 个字节长度限制是 Oracle Solaris 的限制。但是,如果未设置 CHAP 用户名,则系统会在初始化时将其设置为节点名称。
可以使用第三方 RADIUS 服务器来简化 CHAP 密钥管理,RADIUS 服务器充当集中验证服务。使用 RADIUS 时,RADIUS 服务器会存储节点名称组并匹配 CHAP 密钥。执行验证的系统将请求程序的节点名称和提供的机密转发给 RADIUS 服务器。RADIUS 服务器确认密钥是否是验证给定节点名称的合适密钥。iSCSI 和 iSER 均支持使用 RADIUS 服务器。
有关使用第三方 RADIUS 服务器的更多信息,请参见使用第三方 RADIUS 服务器简化 iSCSI 配置中的 CHAP 管理。
单向验证可使目标验证启动器。此方法为缺省方法。只需完成步骤 3-5 即可。
双向验证通过使启动器验证目标提供了更高级别的安全性。请完成步骤 3-9。
以下命令将启动一个用于定义 CHAP 密钥的对话框:
initiator# iscsiadm modify initiator-node --CHAP-secret Enter CHAP secret: ************ Re-enter secret: ************
缺省情况下,启动器的 CHAP 用户名会设置为启动器节点名称。
使用以下命令来使用启动器的 CHAP 用户名:
initiator# iscsiadm modify initiator-node --CHAP-name new-CHAP-name
initiator# iscsiadm modify initiator-node --authentication CHAP
CHAP 要求启动器节点具有用户名和口令。用户名通常由目标用于查找给定用户名的密钥。
启用双向 CHAP 以与目标连接。
initiator# iscsiadm modify target-param -B enable target-iqn
禁用双向 CHAP。
initiator# iscsiadm modify target-param -B disable target-iqn
initiator# iscsiadm modify target-param --authentication CHAP target-iqn
以下命令将启动一个用于定义 CHAP 密钥的对话框:
initiator# iscsiadm modify target-param --CHAP-secret target-iqn
缺省情况下,目标的 CHAP 名称会设置为目标名称。
可以使用以下命令来更改目标的 CHAP 名称:
initiator# iscsiadm modify target-param --CHAP-name target-CHAP-name
此过程假定您已登录到包含 iSCSI 目标的本地系统。
单向验证为缺省方法。只需完成步骤 3-5 即可。
对于双向验证,请完成步骤 3-7。
target# itadm modify-target -a chap target-iqn
使用启动器的完整节点名称和启动器的 CHAP 密钥创建启动器上下文。
target# itadm create-initiator -s initiator-iqn Enter CHAP secret: ************ Re-enter secret: ************
target# itadm modify-initiator -u initiator-CHAP-name initiator-iqn
target# itadm modify-target -s target-iqn Enter CHAP secret: ************ Re-enter secret: ************
target# itadm modify-target -u target-CHAP-name target-iqn
可以使用第三方 RADIUS 服务器来简化 CHAP 密钥管理。RADIUS 服务器充当集中验证服务。使用此方法时,推荐的做法是使用每个启动器节点的缺省 CHAP 名称。通常情况下,所有启动器使用缺省 CHAP 名称时,不必在目标上创建启动器上下文。
可以使用第三方 RADIUS 服务器来简化 CHAP 密钥管理。RADIUS 服务器充当集中验证服务。使用此方法时,推荐的做法是使用每个启动器节点的缺省 CHAP 名称。通常情况下,所有启动器使用缺省 CHAP 名称时,不必在目标上创建启动器上下文。
此过程假定您已登录到本地系统,并且要在此系统中安全地访问已配置的 iSCSI 目标设备。
缺省端口为 1812。一次在目标系统上针对所有 iSCSI 目标完成该配置。
initiator# itadm modify-defaults -r RADIUS-server-IP-address Enter RADIUS secret: ************ Re-enter secret: ************
initiator# itadm modify-defaults -d Enter RADIUS secret: ************ Re-enter secret: ************
可以为单个目标执行该配置,或作为所有目标的缺省配置。
initiator# itadm modify-target -a radius target-iqn
目标节点的标识(例如其 IP 地址)
目标节点用来与 RADIUS 服务器通信的共享密钥
每个启动器需要验证的启动器 CHAP 名称(例如其 iqn 名称)和密钥
可以使用第三方 RADIUS 服务器来简化 CHAP 密钥管理。RADIUS 服务器充当集中验证服务。此步骤只在启动器要求双向 CHAP 验证时才有用。尽管仍然必须指定启动器的 CHAP 密钥,但是,在将双向验证与 RADIUS 服务器结合使用时,不再需要在启动器上指定每个目标的 CHAP 密钥。RADIUS 可在启动器或目标上独立配置。启动器和目标不必使用 RADIUS。
缺省端口为 1812。
# iscsiadm modify initiator-node --radius-server ip-address:1812
iSCSI 与 RADIUS 服务器进行交互之前必须使用共享密钥配置 RADIUS 服务器。
# iscsiadm modify initiator-node --radius-shared-secret Enter secret: Re-enter secret
# iscsiadm modify initiator-node --radius-access enable
# iscsiadm modify initiator-node --authentication CHAP # iscsiadm modify target-param --bi-directional-authentication enable target-iqn # iscsiadm modify target-param --authentication CHAP target-iqn
此节点的标识(例如其 IP 地址)
此节点用来与 RADIUS 服务器通信的共享密钥
每个需要验证的目标的 CHAP 名称(例如其 iqn 名称)和密钥
本节介绍与 Oracle Solaris iSCSI 和 RADIUS 服务器配置相关的错误消息。还介绍了可能的恢复解决方法。
空 RADIUS 共享密钥
原因: 已在启动器上启用了 RADIUS 服务器,但未设置 RADIUS 共享密钥。
解决方法: 使用 RADIUS 共享密钥配置启动器。有关更多信息,请参见如何为 iSCSI 目标配置 RADIUS 服务器。
警告:RADIUS 数据包验证失败
原因: 启动器无法验证 RADIUS 数据包。如果在启动器节点上配置的共享密钥不同于 RADIUS 服务器上的共享密钥,则会出现此错误。
解决方法: 使用正确的 RADIUS 共享密钥重新配置启动器。有关更多信息,请参见如何为 iSCSI 目标配置 RADIUS 服务器。