iSCSI ベースのストレージネットワークにおける認証の構成

iSCSI デバイスの認証設定はオプションです。

セキュリティー保護された環境では、信頼できるイニシエータだけがターゲットにアクセスできるため、認証は必要ありません。

セキュリティー保護の不十分な環境では、ターゲットは、接続要求が本当に指定されたホストからのものなのかを判断できません。そのような場合、ターゲットは、チャレンジハンドシェーク認証プロトコル (CHAP) を使ってイニシエータを認証できます。

CHAP 認証では「チャレンジ」と「応答」の概念が使用され、つまり、ターゲットがイニシエータに対して身元の証明を要求します。このチャレンジ / 応答方式が機能するには、ターゲットがイニシエータの秘密鍵を知っており、かつイニシエータがチャレンジに応答するように設定されている必要があります。秘密鍵をアレイ上に設定する手順については、アレイのベンダーのドキュメントを参照してください。

iSCSI は単方向認証と双方向認証をサポートします。

「単方向認証」では、ターゲットがイニシエータの身元を認証できます。
「双方向認証」では、イニシエータがターゲットの身元を認証できるようにすることで、二次レベルのセキュリティーを追加します。

iSCSI イニシエータの CHAP 認証を構成する方法

この手順では、ユーザーが現在ログインしているローカルシステムから構成済みの iSCSI ターゲットデバイスに安全にアクセスするものとします。

スーパーユーザーになります。
単方向 CHAP または双方向 CHAP のどちらを構成するかを決定します。
- 単方向認証 (デフォルトの方式) では、ターゲットがイニシエータを検証できます。手順 3 から 5 のみを完了してください。
- 双方向認証では、二次レベルのセキュリティーを追加する目的で、イニシエータがターゲットを認証することできます。手順 3 から 9 を完了してください。
単方向 CHAP – イニシエータ上で秘密鍵を設定します。
たとえば、次のコマンドを実行すると、CHAP の秘密鍵を定義するためのダイアログが起動されます。
```
initiator# iscsiadm modify initiator-node --CHAP-secret
```
注 - CHAP シークレットの長さは 12 文字 - 16 文字である必要があります。
(省略可能) 単方向 CHAP – イニシエータ上で CHAP 名を設定します。
デフォルトではイニシエータの CHAP 名は、イニシエータのノード名に設定されます。
次のコマンドを使用して、イニシエータの CHAP 名を変更できます。
```
initiator# iscsiadm modify initiator-node --CHAP-name new-CHAP-name
```
Solaris 環境では、CHAP 名はデフォルトで常にイニシエータノード名に設定されます。CHAP 名は、512 バイト未満の任意の長さのテキストに設定できます。512 バイトの長さの制限は Solaris の制限です。ただし、CHAP 名を設定しない場合は、初期化のときにイニシエータノード名に設定されます。
単方向 CHAP – シークレットの設定完了後にイニシエータ上で CHAP 認証を有効にします。
```
initiator# iscsiadm modify initiator-node --authentication CHAP
```
CHAP 認証では、イニシエータノードにユーザー名とパスワードが必要です。ユーザー名は通常、渡されたユーザー名のシークレットをターゲットが検索するために使用されます。
次のいずれかを選択して双方向 CHAP を有効または無効にします。
- 双方向 CHAP – ターゲットの双方向認証パラメータを有効にします。
  
  例:
```
initiator# iscsiadm modify target-param -B enable eui.5000ABCD78945E2B
```
- 双方向 CHAP を無効にします。例:
```
initiator# iscsiadm modify target-param -B disable eui.5000ABCD78945E2B
```
双方向 CHAP – ターゲット上で認証方法を CHAP に設定します。
例:
```
initiator# iscsiadm modify target-param --authentication CHAP eui.5000ABCD78945E2B
```
双方向 CHAP – ターゲット上でターゲットデバイスの秘密鍵を設定します。
たとえば、次のコマンドを実行すると、CHAP の秘密鍵を定義するためのダイアログが起動されます。
```
initiator# iscsiadm modify target-param --CHAP-secret eui.5000ABCD78945E2B
```
双方向 CHAP - ターゲット上で CHAP 名を設定します。
デフォルトでは、ターゲットの CHAP 名はターゲット名に設定されます。
次のコマンドを使用して、ターゲットの CHAP 名を変更できます。
```
initiator# iscsiadm modify target-param --CHAP-name target-CHAP-name
```

iSCSI ターゲットの CHAP 認証を構成する方法

この手順では、iSCSI ターゲットのあるローカルシステムにユーザーがログインしているものとします。

スーパーユーザーになります。
ターゲットの CHAP シークレット名を設定します。
規則では、ホスト名をシークレット名として使用します。例:
```
target# iscsitadm modify admin -H stormpike
```
CHAP シークレットを指定します。
CHAP シークレットは、12 - 16 文字にする必要があります。例:
```
target# iscsitadm modify admin -C
Enter secret: xxxxxx
Re-enter secret: xxxxxx
```
1 つ以上のターゲットに関連付けられるイニシエータオブジェクトを作成します。
この手順は、毎回 IQN 値を入力しなくても済むように、わかりやすい名前 (通常はホスト名、この場合は monster620) を IQN 値に関連付けるために行います。例:
```
# iscsitadm create initiator -n iqn.1986-03.com.sun: 01:00e081553307.4399f40e monster620
```
イニシエータで使用したのと同じ CHAP 名を指定します。
この名前は、イニシエータオブジェクトに使用したわかりやすい名前でなくてもかまいません。例:
```
target# iscsitadm modify initiator -H monster620 monster620
```

イニシエータで使用したのと同じ CHAP シークレットを指定します。

例:

target# iscsitadm modify initiator -C monster620
Enter secret: xxxxxx
Re-enter secret: xxxxxx

イニシエータオブジェクトを 1 つ以上のターゲットに関連付けます。
例:
```
target# iscsitadm modify target -l monster620 sandbox
```

他社製の RADIUS サーバーを使用して iSCSI 構成内の CHAP 管理を単純化する

他社製の RADIUS サーバーを使用すると、CHAP シークレット管理を単純化できます。RADIUS サーバーは集中管理認証サービスです。RADIUS サーバーを使って双方向認証を行う場合、イニシエータの CHAP シークレットは依然として指定する必要がありますが、各イニシエータ上で各ターゲットの CHAP シークレットを指定する必要はなくなります。

詳細については、次を参照してください。

CHAP – http://www.ietf.org/rfc/rfc1994.txt
RADIUS – http://www.ietf.org/rfc/rfc2865.txt

iSCSI 構成の RADIUS を構成する方法

この手順では、ユーザーが現在ログインしているローカルシステムから構成済みの iSCSI ターゲットデバイスに安全にアクセスするものとします。

スーパーユーザーになります。
RADIUS サーバーの IP アドレスとポート (デフォルトのポートは 1812) を、イニシエータノードに構成します。
例:
```
initiator# iscsiadm modify initiator-node --radius-server 10.0.0.72:1812
```
RADIUS サーバーの共有鍵をイニシエータノードに構成します。
```
initiator# iscsiadm modify initiator-node --radius-shared-secret
```
注 - Solaris iSCSI 実装の場合、RADIUS サーバーに共有シークレットが構成されていないと、Solaris iSCSI ソフトウェアは RADIUS サーバーと通信できません。

RADIUS サーバーを有効にします。

initiator# iscsiadm modify initiator-node --radius-access enable

Solaris iSCSI と RADIUS サーバーに関するエラーメッセージ

このセクションでは、Solaris iSCSI と RADIUS サーバーの構成に関係するエラーメッセージとその考えられる解決法について説明します。

empty RADIUS shared secret

原因: イニシエータ上で RADIUS サーバーが有効になっているにもかかわらず、RADIUS の共有シークレットが設定されていません。

対処方法: RADIUS の共有シークレットをイニシエータに構成します。詳細は、「iSCSI 構成の RADIUS を構成する方法」を参照してください。

WARNING: RADIUS packet authentication failed

原因: イニシエータによる RADIUS データパケットの認証が失敗しました。このエラーが発生する可能性があるのは、イニシエータノード上に構成された共有シークレットが RADIUS サーバー上の共有シークレットと異なっている場合です。

正しい RADIUS 共有シークレットをイニシエータに構成し直します。詳細は、「iSCSI 構成の RADIUS を構成する方法」を参照してください。

ナビゲーションリンクをスキップ
印刷ビューの終了
	Oracle Solaris の管理: デバイスとファイルシステム Oracle Solaris 10 1/13 Information Library (日本語)