Gestión de rutas múltiples y dispositivos SAN en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Diciembre de 2014
 
 

Uso de un servidor RADIUS de terceros para simplificar la gestión de CHAP en la configuración de iSCSI

Puede utilizar un servidor RADIUS de terceros que actúa como un servicio de autenticación centralizado para simplificar la gestión de claves secretas de CHAP. Con este método, la práctica recomendada es utilizar el nombre de CHAP predeterminado para cada nodo de iniciador. En el caso común cuando todos iniciadores están utilizando el nombre de CHAP predeterminado, no tiene que crear contextos de iniciador en el destino.

Cómo configurar un servidor RADIUS para el destino iSCSI

Puede utilizar un servidor RADIUS de terceros que actúa como un servicio de autenticación centralizado para simplificar la gestión de claves secretas de CHAP. Con este método, la práctica recomendada es utilizar el nombre de CHAP predeterminado para cada nodo de iniciador. En el caso común cuando todos iniciadores están utilizando el nombre de CHAP predeterminado, no tiene que crear contextos de iniciador en el destino.

En este procedimiento, se asume que ha iniciado sesión en el sistema local donde desea acceder de forma segura al dispositivo de destino iSCSI configurado.

  1. Conviértase en un administrador.
  2. Configure el nodo de iniciador con la dirección IP y el puerto del servidor RADIUS.

    El puerto predeterminado es 1812. Esta configuración se completa una vez para todos los destinos iSCSI en el sistema de destino.

    initiator# itadm modify-defaults -r RADIUS-server-IP-address
Enter RADIUS secret: ************
Re-enter secret: ************
  3. Configure la clave secreta compartida que se utiliza para la comunicación entre el sistema de destino y el servidor RADIUS.
    initiator# itadm modify-defaults -d
Enter RADIUS secret: ************
Re-enter secret: ************
  4. Configure el sistema de destino para que requiera la autenticación RADIUS.

    Esta configuración se puede realizar para un destino individual o como un valor predeterminado para todos los destinos.

    initiator# itadm modify-target -a radius target-iqn
  5. Configure el servidor RADIUS con los siguientes componentes:

    • La identidad del nodo de destino (por ejemplo, su dirección IP)

    • La clave secreta compartida que el nodo de destino utiliza para comunicarse con el servidor RADIUS

    • El nombre de CHAP del iniciador (por ejemplo, su nombre iqn) y la clave secreta para cada iniciador que se debe autenticar

Cómo configurar un servidor RADIUS para el iniciador iSCSI

Puede utilizar un servidor RADIUS de terceros que actúa como un servicio de autenticación centralizado para simplificar la gestión de claves secretas de CHAP. Esta configuración sólo es útil cuando el iniciador solicita la autenticación CHAP bidireccional. Debe especificar la clave secreta de CHAP del iniciador, pero no es necesario que especifique la clave secreta de CHAP para cada destino en un iniciador al utilizar la autenticación bidireccional con un servidor RADIUS. El RADIUS se puede configurar de manera independiente en el iniciador o en el destino. El iniciador y el destino no tienen que utilizar RADIUS.

  1. Conviértase en un administrador.
  2. Configure el nodo de iniciador con la dirección IP y el puerto del servidor RADIUS.

    El puerto predeterminado es 1812.

    # iscsiadm modify initiator-node --radius-server ip-address:1812
  3. Configure el nodo de iniciador con la clave secreta compartida del servidor RADIUS.

    El servidor RADIUS se debe configurar con un secreto compartido para que iSCSI interaccione con el servidor.

    # iscsiadm modify initiator-node --radius-shared-secret
Enter secret:
Re-enter secret
  4. Active el uso del servidor RADIUS.
    # iscsiadm modify initiator-node --radius-access enable
  5. Configure los demás aspectos de la autenticación CHAP bidireccional.
    # iscsiadm modify initiator-node --authentication CHAP
# iscsiadm modify target-param --bi-directional-authentication enable target-iqn
# iscsiadm modify target-param --authentication CHAP target-iqn
  6. Configure el servidor RADIUS con los siguientes componentes:

    • La identidad de este nodo (por ejemplo, su dirección IP)

    • La clave secreta compartida que este nodo utiliza para comunicarse con el servidor RADIUS

    • El·nombre·de·CHAP·del destino (por ejemplo, su nombre iqn) y la clave secreta para cada destino que se debe autenticar

Mensajes de error de servidor RADIUS e iSCSI de Oracle Solaris

En esta sección, se describen los mensajes de error que están relacionados con una configuración de servidor RADIUS e iSCSI de Oracle Solaris. También se proporcionan posibles soluciones para la recuperación.

empty RADIUS shared secret

Cause: El servidor RADIUS está activado en el iniciador, pero la calve secreta compartida de RADIUS no está definida.

Solución: Configure el iniciador con la clave secreta compartida de RADIUS. Para obtener más información, consulte Cómo configurar un servidor RADIUS para el destino iSCSI.

WARNING: RADIUS packet authentication failed

Cause: El iniciador no pudo autenticar el paquete de datos RADIUS. Este error puede ocurrir si la clave secreta compartida que se configura en el nodo de iniciador es diferente de la clave secreta compartida en el servidor RADIUS.

Solución: Vuelva a configurar el iniciador con el secreto compartido RADIUS correcto. Para obtener más información, consulte Cómo configurar un servidor RADIUS para el destino iSCSI.

Copyright © 2009, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente