En este procedimiento, se asume que ha iniciado sesión en el sistema local donde desea acceder de forma segura al dispositivo de destino iSCSI configurado.
La longitud de la clave secreta CHAP para el destino iSCSI de COMSTAR debe tener un mínimo de 12 caracteres y un máximo de 255 caracteres. Algunos iniciadores admiten solamente una longitud máxima más corta para la clave secreta.
Cada nodo identificándose mediante CHAP debe tener un nombre de usuario y una contraseña. En el sistema operativo Oracle Solaris, el nombre de usuario de CHAP se establece en el nombre de nodo de destino o iniciador (es decir, el nombre iqn) de manera predeterminada. El nombre de usuario de CHAP se puede establecer en cualquier longitud del texto que sea inferior a 512 bytes. El límite de longitud de 512 bytes es una limitación de Oracle Solaris. Sin embargo, si no establece el nombre de usuario de CHAP, se establece en el nombre de nodo tras la inicialización.
Puede simplificar la gestión de claves secretas de CHAP mediante un servidor RADIUS de terceros, que actúa como un servicio de autenticación centralizado. Al utilizar RADIUS, el servidor RADIUS almacena el conjunto de nombres de nodo y las claves secretas de CHAP coincidentes. El sistema que realiza la autenticación reenvía el nombre de nodo del solicitante y el secreto suministrado del solicitante al servidor RADIUS. El servidor RADIUS confirma si la clave secreta es la clave adecuada para autenticar el nombre de nodo determinado. Tanto iSCSI como iSER admiten el uso de un servidor RADIUS.
Para obtener más información sobre el uso de un servidor RADIUS de terceros, consulte Uso de un servidor RADIUS de terceros para simplificar la gestión de CHAP en la configuración de iSCSI.
Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
La autenticación unidireccional, que es el método predeterminado, permite que el destino valide el iniciador. Complete los pasos 3 a 5 solamente.
La autenticación bidireccional agrega un segundo nivel de seguridad permitiendo al iniciador que autentique el destino. Complete los pasos de 3 a 9.
El siguiente comando inicia un diálogo para definir la clave secreta de CHAP:
initiator# iscsiadm modify initiator-node --CHAP-secret Enter CHAP secret: ************ Re-enter secret: ************
De manera predeterminada, el nombre de usuario de CHAP del iniciador se establece en el nombre de nodo del iniciador.
Utilice el siguiente comando para utilizar su propio nombre de usuario de CHAP del iniciador:
initiator# iscsiadm modify initiator-node --CHAP-name new-CHAP-name
initiator# iscsiadm modify initiator-node --authentication CHAP
CHAP requiere que el nodo de iniciador tenga un nombre de usuario y una contraseña. El nombre de usuario es utilizado, normalmente, por el destino para buscar la clave secreta del nombre de usuario determinado.
Active el CHAP bidireccional para las conexiones con el destino.
initiator# iscsiadm modify target-param -B enable target-iqn
Desactive el CHAP bidireccional.
initiator# iscsiadm modify target-param -B disable target-iqn
initiator# iscsiadm modify target-param --authentication CHAP target-iqn
El siguiente comando inicia un diálogo para definir la clave secreta de CHAP:
initiator# iscsiadm modify target-param --CHAP-secret target-iqn
De manera predeterminada, el nombre de CHAP del destino se establece en el nombre de destino.
Puede utilizar el siguiente comando para cambiar el nombre de CHAP del destino:
initiator# iscsiadm modify target-param --CHAP-name target-CHAP-name