Oracle ZFS Storage Appliance 安全概述
访问控制列表 (Access Control List, ACL)
存储区域网络 (Storage Area Network, SAN)
服务器消息块 (Server Message Block, SMB)
通过 Microsoft 管理控制台 (Microsoft Management Console, MMC) 执行管理操作
文件传输协议 (File Transfer Protocol, FTP)
超文本传输协议 (Hypertext Transfer Protocol, HTTP)
网络数据管理协议 (Network Data Management Protocol, NDMP)
SSH 文件传输协议 (SSH File Transfer Protocol, SFTP)
当在 ZFSSA 上配置 LUN 时,您可以通过 Internet 小型计算机系统接口 (Internet Small Computer System Interface, iSCSI) 目标导出该卷。iSCSI 服务允许 iSCSI 启动器使用 iSCSI 协议访问目标。
该服务支持使用 iSNS 协议进行搜索、管理和配置。iSCSI 服务支持使用 CHAP 的单向验证(目标对启动器进行验证)和双向验证(目标和启动器相互验证)。此外,该服务还支持在 RADIUS 数据库中进行 CHAP 验证数据管理。
系统首先执行验证,然后进行授权,这在两个独立的步骤中进行。如果本地启动器具有 CHAP 名称和 CHAP 密钥,则系统将执行验证。如果本地启动器没有 CHAP 属性,则系统不会执行任何验证,因此所有启动器都将符合授权条件。
iSCSI 服务允许指定一个启动器全局列表,其中包含可以在启动器组内使用的启动器。当使用 iSCSI 和 CHAP 验证时,可以使用 RADIUS 作为 iSCSI 协议,用于将所有 CHAP 验证推迟到选定的 RADIUS 服务器。
远程验证拨入用户服务 (Remote Authentication Dial-In User Service, RADIUS) 是一个使用中央服务器代表存储节点执行 CHAP 验证的系统。当使用 iSCSI 和 CHAP 验证时,可以选择 RADIUS 作为 iSCSI 协议(同时应用于 iSCSI 和 iSCSI 的 RDMA 扩展 (iSER)),并将所有 CHAP 验证发送到选定的 RADIUS 服务器。
要使 ZFSSA 能够使用 RADIUS 执行 CHAP 验证,必须满足以下要求:
ZFSSA 必须指定 RADIUS 服务器的地址,以及与该 RADIUS 服务器进行通信时要使用的密钥。
RADIUS 服务器必须有一个条目(例如在其客户机文件中)给出 ZFSSA 的地址并指定上述密钥。
对于每个启动器,RADIUS 服务器必须有一个条目(例如在其用户文件中)提供 CHAP 名称以及匹配的 CHAP 密钥。
如果启动器使用其 IQN 名称作为 CHAP 名称(这是建议的配置),ZFSSA 无需为每个启动器计算机包含一个单独的启动器条目,RADIUS 服务器就可执行所有验证步骤。
如果启动器使用单独的 CHAP 名称,则 ZFSSA 必须有一个启动器条目对应于该启动器,指定从 IQN 名称到 CHAP 名称的映射。该启动器条目无需指定启动器的 CHAP 密钥。