iSCSI

ZFSSA で LUN を構成すると、iSCSI (Internet Small Computer System Interface) ターゲットを介してそのボリュームをエクスポートできます。iSCSI サービスでは、iSCSI イニシエータは iSCSI プロトコルを使用してターゲットにアクセスできます。

このサービスは、iSNS プロトコルを使用した検出、管理、および構成をサポートします。iSCSI サービスは、CHAP を使用して単方向 (ターゲットがイニシエータを認証する) および双方向 (ターゲットとイニシエータが相互に認証する) の両方の認証をサポートします。また、RADIUS データベースでの CHAP 認証データ管理もサポートします。

システムでは、2 つの独立したステップで、最初に認証を実行し、2 番目に承認を実行します。ローカルイニシエータに CHAP 名と CHAP シークレットが指定されている場合は、システムによって認証が行われます。ローカルイニシエータに CHAP プロパティーが指定されていない場合は、認証が行われないため、すべてのイニシエータが承認の対象となります。

iSCSI サービスでは、イニシエータグループ内で使用できるイニシエータのグローバルリストを指定できます。iSCSI および CHAP 認証を使用する場合、RADIUS を iSCSI プロトコルとして使用して、選択した RADIUS サーバーにすべての CHAP 認証を持ち越すことができます。

RADIUS のサポート

Remote Authentication Dial-In User Service (RADIUS) は、ストレージノードに代わって、集中管理されたサーバーを使用して CHAP 認証を実行するためのシステムです。iSCSI および CHAP 認証を使用する場合、iSCSI プロトコルに RADIUS を選択して iSCSI と iSCSI Extensions for RDMA (iSER) の両方を適用し、選択した RADIUS サーバーにすべての CHAP 認証を送信できます。

ZFSSA が RADIUS を使用して CHAP 認証を実行できるようにするには、次の情報が一致する必要があります。

• ZFSSA は、RADIUS サーバーのアドレスと、この RADIUS サーバーと通信するときに使用するシークレットを指定する必要があります。

• RADIUS サーバーは、(たとえばクライアントファイル内の) エントリで、ZFSSA のアドレスおよび上記と同じシークレットを指定する必要があります。

• RADIUS サーバーは、(たとえばユーザーファイル内の) エントリで、イニシエータごとに CHAP 名および対応する CHAP シークレットを指定する必要があります。

• イニシエータが CHAP 名として自身の IQN 名を使用する場合 (推奨構成)、ZFSSA では、イニシエータボックスごとに個別イニシエータエントリは必要ありません。RADIUS サーバーは、すべての認証手順を実行できます。

• イニシエータが個別の CHAP 名を使用する場合は、ZFSSA に、IQN 名から CHAP 名へのマッピングを指定する、そのイニシエータのためのイニシエータエントリが存在する必要があります。このイニシエータエントリで、そのイニシエータの CHAP シークレットを指定する必要はありません。