集中管理認証サービスとして機能する他社製の RADIUS サーバーを使用して、CHAP 秘密鍵の管理を簡略化できます。この方式では、各イニシエータノードでデフォルトの CHAP 名を使用することをお勧めします。すべてのイニシエータがデフォルトの CHAP 名を使用するという一般的な場合では、ターゲット上にイニシエータコンテキストを作成する必要はありません。
集中管理認証サービスとして機能する他社製の RADIUS サーバーを使用して、CHAP 秘密鍵の管理を簡略化できます。この方式では、各イニシエータノードでデフォルトの CHAP 名を使用することをお勧めします。すべてのイニシエータがデフォルトの CHAP 名を使用するという一般的な場合では、ターゲット上にイニシエータコンテキストを作成する必要はありません。
この手順では、ユーザーが現在ログインしているローカルシステムから構成済みの iSCSI ターゲットデバイスに安全にアクセスするものとします。
デフォルトのポートは 1812 です。この構成は、ターゲットシステム上のすべての iSCSI ターゲットに対して 1 回で完了します。
initiator# itadm modify-defaults -r RADIUS-server-IP-address Enter RADIUS secret: ************ Re-enter secret: ************
initiator# itadm modify-defaults -d Enter RADIUS secret: ************ Re-enter secret: ************
この構成は、個別のターゲットに実行することも、すべてのターゲットのデフォルトとして実行することもできます。
initiator# itadm modify-target -a radius target-iqn
ターゲットノードの識別情報 (IP アドレスなど)
ターゲットノードが RADIUS サーバーとの通信に使用する共有秘密鍵
イニシエータの CHAP 名 (たとえば、iqn 名)、および認証の必要な各イニシエータの秘密鍵
集中管理認証サービスとして機能する他社製の RADIUS サーバーを使用して、CHAP 秘密鍵の管理を簡略化できます。この設定が役に立つのは、イニシエータが双方向 CHAP 認証を要求しているときだけです。それでも、イニシエータの CHAP 秘密鍵を指定する必要があります。ただし、RADIUS サーバーとの双方向認証を使用しているときは、イニシエータ上の各ターゲットの CHAP 秘密鍵を指定する必要はありません。RADIUS は、イニシエータまたはターゲットのいずれかの上に独立して構成できます。イニシエータおよびターゲットは、RADIUS を使用する必要はありません。
デフォルトのポートは 1812 です。
# iscsiadm modify initiator-node --radius-server ip-address:1812
iSCSI がサーバーとの対話処理を実行するためには、共有シークレットを使って RADIUS サーバーを構成する必要があります。
# iscsiadm modify initiator-node --radius-shared-secret Enter secret: Re-enter secret
# iscsiadm modify initiator-node --radius-access enable
# iscsiadm modify initiator-node --authentication CHAP # iscsiadm modify target-param --bi-directional-authentication enable target-iqn # iscsiadm modify target-param --authentication CHAP target-iqn
このノードの識別情報 (IP アドレスなど)
このノードが RADIUS サーバーとの通信に使用する共有秘密鍵
ターゲットの CHAP 名 (たとえば、iqn 名)、および認証の必要な各ターゲットの秘密鍵
このセクションでは、Oracle Solaris iSCSI と RADIUS サーバーの構成に関するエラーメッセージについて説明します。復旧に役立つと思われるソリューションも提供します。
empty RADIUS shared secret
Cause: イニシエータ上で RADIUS サーバーが有効になっているにもかかわらず、RADIUS の共有秘密鍵が設定されていません。
解決策: RADIUS の共有秘密鍵をイニシエータに構成します。詳細は、RADIUS サーバーを iSCSI ターゲット用に構成する方法を参照してください。
WARNING: RADIUS packet authentication failed
Cause: イニシエータによる RADIUS データパケットの認証が失敗しました。このエラーが発生する可能性があるのは、イニシエータノード上に構成された共有秘密鍵が RADIUS サーバー上の共有秘密鍵と異なっている場合です。
解決策: 正しい RADIUS 共有シークレットをイニシエータに構成し直します。詳細は、RADIUS サーバーを iSCSI ターゲット用に構成する方法を参照してください。