當您在 ZFSSA 上配置 LUN 時,您可以透過「網際網路小型電腦系統介面 (Internet Small Computer System Interface, iSCSI)」目標來匯出該磁碟區。iSCSI 服務讓 iSCSI 啟動器可以使用 iSCSI 協定來存取目標。
此服務支援使用 iSNS 協定來進行尋找、管理以及配置。iSCSI 服務支援使用 CHAP 來進行單向 (目標認證啟動器) 和雙向 (目標和啟動器相互認證) 認證。再者,此服務支援 RADIUS 資料庫中的 CHAP 認證資料管理。
系統會先執行認證後再予以授權,這是兩個獨立的步驟。如果本機啟動器有 CHAP 名稱和 CHAP 密碼,系統就會執行認證。如果本機啟動器沒有 CHAP 特性,則系統不會執行任何認證,因此所有啟動器都可取得授權。
iSCSI 服務可讓您指定啟動器的全域清單,您可以在啟動器群組內使用此清單。使用 iSCSI 和 CHAP 認證時,RADIUS 可以作為 iSCSI 協定將所有 CHAP 認證委託給所選的 RADIUS 伺服器。
「遠端認證撥入使用者服務 (Remote Authentication Dial-In User Service, RADIUS)」系統會使用集中式伺服器來代替儲存節點執行 CHAP 認證。使用 iSCSI 和 CHAP 認證時,您可以選取 RADIUS 作為 iSCSI 協定 (iSCSI 和 iSCSI Extensions for RDMA (iSER) 皆適用),然後將所有 CHAP 認證傳送給選取的 RADIUS 伺服器。
若要允許 ZFSSA 使用 RADIUS 執行 CHAP 認證,必須符合下列條件:
ZFSSA 必須指定與此 RADIUS 伺服器通訊時要使用的 RADIUS 伺服器位址與密碼。
RADIUS 伺服器 (例如,在其用戶端檔案中) 必須有一個能夠指定 ZFSSA 位址和上述密碼的項目。
RADIUS 伺服器 (例如,在其使用者檔案中) 必須有一個能夠提供每個啟動器之 CHAP 名稱和相符 CHAP 密碼的項目。
如果啟動器使用其 IQN 名稱作為 CHAP 名稱 (這是建議的配置),且 ZFSSA 不需要在每個「啟動器」方塊使用不同的「啟動器」項目,則 RADIUS 伺服器可以執行所有的認證步驟。
如果啟動器使用不同的 CHAP 名稱,則 ZFSSA 在啟動器中就必須有一個指定 IQN 名稱與 CHAP 名稱對應的「啟動器」項目。此「啟動器」項目不需要指定啟動器的 CHAP 密碼。