Vous pouvez utiliser un serveur RADIUS tiers qui agit comme un service d'authentification centralisé pour simplifier la gestion des clés secrètes CHAP. Avec cette méthode, il est recommandé d'utiliser le nom CHAP par défaut pour chaque noeud d'initiateur. Dans la plupart des cas, lorsque tous les initiateurs utilisent le nom CHAP par défaut, vous n'avez pas besoin de créer un contexte d'initiateur sur la cible.
Vous pouvez utiliser un serveur RADIUS tiers qui agit comme un service d'authentification centralisé pour simplifier la gestion des clés secrètes CHAP. Avec cette méthode, il est recommandé d'utiliser le nom CHAP par défaut pour chaque noeud d'initiateur. Dans la plupart des cas, lorsque tous les initiateurs utilisent le nom CHAP par défaut, vous n'avez pas besoin de créer un contexte d'initiateur sur la cible.
Cette procédure suppose que vous êtes connecté au système local d'où vous souhaitez accéder en toute sécurité au périphérique cible iSCSI configuré.
Le port par défaut est 1812. Cette configuration s'effectue une fois pour toutes les cibles iSCSI du système cible.
initiator# itadm modify-defaults -r RADIUS-server-IP-address Enter RADIUS secret: ************ Re-enter secret: ************
initiator# itadm modify-defaults -d Enter RADIUS secret: ************ Re-enter secret: ************
Cette configuration peut être effectuée pour une cible spécifique ou en tant que valeur par défaut pour toutes les cibles.
initiator# itadm modify-target -a radius target-iqn
L'identité du noeud cible (par exemple, son adresse IP)
La clé secrète partagée que le noeud cible utilise pour communiquer avec le serveur RADIUS
Le nom CHAP de l'initiateur (par exemple, son nom iqn) et la clé secrète de chaque initiateur à authentifier
Vous pouvez utiliser un serveur RADIUS tiers qui agit comme un service d'authentification centralisé pour simplifier la gestion des clés secrètes CHAP. Cette configuration n'est utile que lorsque l'initiateur demande une authentification CHAP bidirectionnelle. Vous devez toujours spécifier la clé secrète CHAP de l'initiateur, mais il n'est pas obligatoire d'indiquer la clé secrète CHAP de chaque cible d'un initiateur lorsque vous utilisez l'authentification bidirectionnelle avec un serveur RADIUS. RADIUS peut être configuré indépendamment sur l'initiateur ou la cible. L'initiateur et la cible n'ont pas à utiliser RADIUS.
Le port par défaut est 1812.
# iscsiadm modify initiator-node --radius-server ip-address:1812
Le serveur RADIUS doit être configuré avec une clé secrète partagée pour iSCSI pour interagir avec le serveur.
# iscsiadm modify initiator-node --radius-shared-secret Enter secret: Re-enter secret
# iscsiadm modify initiator-node --radius-access enable
# iscsiadm modify initiator-node --authentication CHAP # iscsiadm modify target-param --bi-directional-authentication enable target-iqn # iscsiadm modify target-param --authentication CHAP target-iqn
L'identité de ce noeud (par exemple, son adresse IP)
La clé secrète partagée que ce noeud utilise pour communiquer avec le serveur RADIUS
Le nom CHAP de la cible (par exemple, son nom iqn) et la clé secrète de chaque cible à authentifier
Cette section décrit les messages d'erreur liés à la configuration d'Oracle Solaris iSCSI et d'un serveur RADIUS, ainsi que les solutions de restauration possibles.
empty RADIUS shared secret
Cause: Le serveur RADIUS est activé sur l'initiateur, mais la clé secrète partagée RADIUS n'est pas définie.
Solution: Configurez l'initiateur avec la clé secrète partagée RADIUS. Pour plus d'informations, reportez-vous à la section Configuration d'un serveur RADIUS pour la cible iSCSI.
WARNING: RADIUS packet authentication failed
Cause: L'initiateur n'a pas réussi à authentifier le paquet de données RADIUS. Cette erreur peut se produire si la clé secrète partagée configurée sur le noeud d'initiateur est différente de celle présente sur le serveur RADIUS.
Solution: Reconfigurez l'initiateur avec la clé secrète partagée RADIUS appropriée. Pour plus d'informations, reportez-vous à la section Configuration d'un serveur RADIUS pour la cible iSCSI.