ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
![]() |
Oracle Solaris の管理: デバイスとファイルシステム Oracle Solaris 10 1/13 Information Library (日本語) |
6. InfiniBand デバイスの使用 (概要/タスク)
12. Oracle Solaris iSCSI ターゲットの構成 (タスク)
Solaris iSCSI のソフトウェア要件およびハードウェア要件の識別
Solaris iSCSI ターゲットデバイスの構成 (タスク)
Solaris iSCSI ターゲットの iSNS 発見を構成する方法
iSCSI イニシエータと iSCSI ターゲットのパラメータの変更
iSCSI イニシエータと iSCSI ターゲットのパラメータを変更する方法
iSCSI の接続に関する問題のトラブルシューティングを行う方法
ローカルシステム上で iSCSI デバイスまたは iSCSI ディスクが利用できない
iSCSI デバイスまたは iSCSI ディスクが利用できない問題のトラブルシューティングを行う方法
19. UFS ファイルシステムのバックアップと復元 (概要/タスク)
iSCSI デバイスの認証設定はオプションです。
セキュリティー保護された環境では、信頼できるイニシエータだけがターゲットにアクセスできるため、認証は必要ありません。
セキュリティー保護の不十分な環境では、ターゲットは、接続要求が本当に指定されたホストからのものなのかを判断できません。そのような場合、ターゲットは、チャレンジハンドシェーク認証プロトコル (CHAP) を使ってイニシエータを認証できます。
CHAP 認証では「チャレンジ」と「応答」の概念が使用され、つまり、ターゲットがイニシエータに対して身元の証明を要求します。このチャレンジ / 応答方式が機能するには、ターゲットがイニシエータの秘密鍵を知っており、かつイニシエータがチャレンジに応答するように設定されている必要があります。秘密鍵をアレイ上に設定する手順については、アレイのベンダーのドキュメントを参照してください。
iSCSI は単方向認証と双方向認証をサポートします。
「単方向認証」では、ターゲットがイニシエータの身元を認証できます。
「双方向認証」では、イニシエータがターゲットの身元を認証できるようにすることで、二次レベルのセキュリティーを追加します。
この手順では、ユーザーが現在ログインしているローカルシステムから構成済みの iSCSI ターゲットデバイスに安全にアクセスするものとします。
単方向認証 (デフォルトの方式) では、ターゲットがイニシエータを検証できます。手順 3 から 5 のみを完了してください。
双方向認証では、二次レベルのセキュリティーを追加する目的で、イニシエータがターゲットを認証することできます。手順 3 から 9 を完了してください。
たとえば、次のコマンドを実行すると、CHAP の秘密鍵を定義するためのダイアログが起動されます。
initiator# iscsiadm modify initiator-node --CHAP-secret
注 - CHAP シークレットの長さは 12 文字 - 16 文字である必要があります。
デフォルトではイニシエータの CHAP 名は、イニシエータのノード名に設定されます。
次のコマンドを使用して、イニシエータの CHAP 名を変更できます。
initiator# iscsiadm modify initiator-node --CHAP-name new-CHAP-name
Solaris 環境では、CHAP 名はデフォルトで常にイニシエータノード名に設定されます。CHAP 名は、512 バイト未満の任意の長さのテキストに設定できます。512 バイトの長さの制限は Solaris の制限です。ただし、CHAP 名を設定しない場合は、初期化のときにイニシエータノード名に設定されます。
initiator# iscsiadm modify initiator-node --authentication CHAP
CHAP 認証では、イニシエータノードにユーザー名とパスワードが必要です。ユーザー名は通常、渡されたユーザー名のシークレットをターゲットが検索するために使用されます。
双方向 CHAP – ターゲットの双方向認証パラメータを有効にします。
例:
initiator# iscsiadm modify target-param -B enable eui.5000ABCD78945E2B
双方向 CHAP を無効にします。例:
initiator# iscsiadm modify target-param -B disable eui.5000ABCD78945E2B
例:
initiator# iscsiadm modify target-param --authentication CHAP eui.5000ABCD78945E2B
たとえば、次のコマンドを実行すると、CHAP の秘密鍵を定義するためのダイアログが起動されます。
initiator# iscsiadm modify target-param --CHAP-secret eui.5000ABCD78945E2B
デフォルトでは、ターゲットの CHAP 名はターゲット名に設定されます。
次のコマンドを使用して、ターゲットの CHAP 名を変更できます。
initiator# iscsiadm modify target-param --CHAP-name target-CHAP-name
この手順では、iSCSI ターゲットのあるローカルシステムにユーザーがログインしているものとします。
規則では、ホスト名をシークレット名として使用します。例:
target# iscsitadm modify admin -H stormpike
CHAP シークレットは、12 - 16 文字にする必要があります。例:
target# iscsitadm modify admin -C Enter secret: xxxxxx Re-enter secret: xxxxxx
この手順は、毎回 IQN 値を入力しなくても済むように、わかりやすい名前 (通常はホスト名、この場合は monster620) を IQN 値に関連付けるために行います。例:
# iscsitadm create initiator -n iqn.1986-03.com.sun: 01:00e081553307.4399f40e monster620
この名前は、イニシエータオブジェクトに使用したわかりやすい名前でなくてもかまいません。例:
target# iscsitadm modify initiator -H monster620 monster620
例:
target# iscsitadm modify initiator -C monster620 Enter secret: xxxxxx Re-enter secret: xxxxxx
例:
target# iscsitadm modify target -l monster620 sandbox
他社製の RADIUS サーバーを使用すると、CHAP シークレット管理を単純化できます。RADIUS サーバーは集中管理認証サービスです。RADIUS サーバーを使って双方向認証を行う場合、イニシエータの CHAP シークレットは依然として指定する必要がありますが、各イニシエータ上で各ターゲットの CHAP シークレットを指定する必要はなくなります。
詳細については、次を参照してください。
この手順では、ユーザーが現在ログインしているローカルシステムから構成済みの iSCSI ターゲットデバイスに安全にアクセスするものとします。
例:
initiator# iscsiadm modify initiator-node --radius-server 10.0.0.72:1812
initiator# iscsiadm modify initiator-node --radius-shared-secret
注 - Solaris iSCSI 実装の場合、RADIUS サーバーに共有シークレットが構成されていないと、Solaris iSCSI ソフトウェアは RADIUS サーバーと通信できません。
initiator# iscsiadm modify initiator-node --radius-access enable
このセクションでは、Solaris iSCSI と RADIUS サーバーの構成に関係するエラーメッセージとその考えられる解決法について説明します。
empty RADIUS shared secret
原因: イニシエータ上で RADIUS サーバーが有効になっているにもかかわらず、RADIUS の共有シークレットが設定されていません。
対処方法: RADIUS の共有シークレットをイニシエータに構成します。詳細は、「iSCSI 構成の RADIUS を構成する方法」を参照してください。
WARNING: RADIUS packet authentication failed
原因: イニシエータによる RADIUS データパケットの認証が失敗しました。このエラーが発生する可能性があるのは、イニシエータノード上に構成された共有シークレットが RADIUS サーバー上の共有シークレットと異なっている場合です。
正しい RADIUS 共有シークレットをイニシエータに構成し直します。詳細は、「iSCSI 構成の RADIUS を構成する方法」を参照してください。