Cette procédure suppose que vous êtes connecté au système local d'où vous souhaitez accéder en toute sécurité au périphérique cible iSCSI configuré.
La clé secrète CHAP pour la cible iSCSI COMSTAR doit comporter un minimum de 12 caractères et un maximum de 255 caractères. Certains initiateurs prennent uniquement en charge une longueur maximale plus courte pour la clé secrète.
Chaque noeud qui s'identifie lui-même à l'aide de CHAP doit comporter à la fois un nom d'utilisateur et un mot de passe. Dans le SE Oracle Solaris, le nom d'utilisateur CHAP est défini sur le nom du noeud initiateur ou cible (c'est-à-dire, le nom iqn) par défaut. Le nom d'utilisateur CHAP peut être défini sur n'importe quelle longueur de texte inférieure à 512 octets. La longueur maximale de 512 octets est une restriction d'Oracle Solaris. Toutefois, si vous ne définissez pas le nom d'utilisateur CHAP, il est défini sur le nom de noeud lors de l'initialisation.
Vous pouvez simplifier la gestion de la clé secrète CHAP à l'aide d'un serveur RADIUS tiers, qui agit comme un service d'authentification centralisé. Lorsque vous utilisez RADIUS, le serveur RADIUS stocke l'ensemble des noms de noeud et les clés secrètes CHAP correspondantes. Le système effectuant l'authentification transmet le nom de noeud du demandeur et le code secret fourni au serveur RADIUS. Le serveur RADIUS vérifie que la clé secrète est la clé appropriée pour authentifier le nom de noeud spécifié. iSCSI et iSER prennent tous deux en charge l'utilisation d'un serveur RADIUS.
Pour plus d'informations sur l'utilisation d'un serveur RADIUS tiers, reportez-vous à la section Utilisation d'un serveur RADIUS tiers pour simplifier la gestion CHAP dans votre configuration iSCSI.
Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
L'authentification unidirectionnelle, qui est la méthode par défaut, permet à la cible de valider l'initiateur. Suivez les étapes 3 à 5 uniquement.
L'authentification bidirectionnelle ajoute un second niveau de sécurité en permettant à l'initiateur d'authentifier la cible. Suivez les étapes 3 à 9.
La commande suivante lance une boîte de dialogue qui permet de définir la clé secrète CHAP :
initiator# iscsiadm modify initiator-node --CHAP-secret Enter CHAP secret: ************ Re-enter secret: ************
Par défaut, le nom d'utilisateur CHAP de l'initiateur est défini sur le nom de noeud de l'initiateur.
Utilisez la commande suivante pour utiliser le nom d'utilisateur CHAP de votre initiateur :
initiator# iscsiadm modify initiator-node --CHAP-name new-CHAP-name
initiator# iscsiadm modify initiator-node --authentication CHAP
CHAP requiert à la fois un nom d'utilisateur et un mot de passe pour le noeud d'initiateur. Le nom d'utilisateur est généralement utilisé par la cible pour rechercher la clé secrète associée au nom d'utilisateur spécifié.
Activez le protocole CHAP bidirectionnel pour établir des connexions avec la cible.
initiator# iscsiadm modify target-param -B enable target-iqn
Désactivez le protocole CHAP bidirectionnel.
initiator# iscsiadm modify target-param -B disable target-iqn
initiator# iscsiadm modify target-param --authentication CHAP target-iqn
La commande suivante lance une boîte de dialogue qui permet de définir la clé secrète CHAP :
initiator# iscsiadm modify target-param --CHAP-secret target-iqn
Par défaut, le nom CHAP de la cible est réglé sur le nom de la cible.
Vous pouvez exécuter la commande suivante pour modifier le nom CHAP de la cible :
initiator# iscsiadm modify target-param --CHAP-name target-CHAP-name