Oracle® Solaris 11.2 での SAN デバイスとマルチパス化の管理

印刷ビューの終了

 
更新: 2014 年 12 月
 
 

他社製の RADIUS サーバーを使用して iSCSI 構成内の CHAP 管理を単純化する

集中管理認証サービスとして機能する他社製の RADIUS サーバーを使用して、CHAP 秘密鍵の管理を簡略化できます。この方式では、各イニシエータノードでデフォルトの CHAP 名を使用することをお勧めします。すべてのイニシエータがデフォルトの CHAP 名を使用するという一般的な場合では、ターゲット上にイニシエータコンテキストを作成する必要はありません。

RADIUS サーバーを iSCSI ターゲット用に構成する方法

集中管理認証サービスとして機能する他社製の RADIUS サーバーを使用して、CHAP 秘密鍵の管理を簡略化できます。この方式では、各イニシエータノードでデフォルトの CHAP 名を使用することをお勧めします。すべてのイニシエータがデフォルトの CHAP 名を使用するという一般的な場合では、ターゲット上にイニシエータコンテキストを作成する必要はありません。

この手順では、ユーザーが現在ログインしているローカルシステムから構成済みの iSCSI ターゲットデバイスに安全にアクセスするものとします。

  1. 管理者になります。
  2. RADIUS サーバーの IP アドレスとポートを使用して、イニシエータノードを構成します。

    デフォルトのポートは 1812 です。この構成は、ターゲットシステム上のすべての iSCSI ターゲットに対して 1 回で完了します。

    initiator# itadm modify-defaults -r RADIUS-server-IP-address
Enter RADIUS secret: ************
Re-enter secret: ************
  3. ターゲットシステムと RADIUS サーバー間の通信に使用される共有秘密鍵を構成します。
    initiator# itadm modify-defaults -d
Enter RADIUS secret: ************
Re-enter secret: ************
  4. RADIUS 認証を必要とするようにターゲットシステムを構成します。

    この構成は、個別のターゲットに実行することも、すべてのターゲットのデフォルトとして実行することもできます。

    initiator# itadm modify-target -a radius target-iqn
  5. 次のコンポーネントを使用して RADIUS サーバーを構成します。

    • ターゲットノードの識別情報 (IP アドレスなど)

    • ターゲットノードが RADIUS サーバーとの通信に使用する共有秘密鍵

    • イニシエータの CHAP 名 (たとえば、iqn 名)、および認証の必要な各イニシエータの秘密鍵

RADIUS サーバーを iSCSI イニシエータ用に構成する方法

集中管理認証サービスとして機能する他社製の RADIUS サーバーを使用して、CHAP 秘密鍵の管理を簡略化できます。この設定が役に立つのは、イニシエータが双方向 CHAP 認証を要求しているときだけです。それでも、イニシエータの CHAP 秘密鍵を指定する必要があります。ただし、RADIUS サーバーとの双方向認証を使用しているときは、イニシエータ上の各ターゲットの CHAP 秘密鍵を指定する必要はありません。RADIUS は、イニシエータまたはターゲットのいずれかの上に独立して構成できます。イニシエータおよびターゲットは、RADIUS を使用する必要はありません。

  1. 管理者になります。
  2. RADIUS サーバーの IP アドレスとポートを使用して、イニシエータノードを構成します。

    デフォルトのポートは 1812 です。

    # iscsiadm modify initiator-node --radius-server ip-address:1812
  3. RADIUS サーバーの共有秘密鍵をイニシエータノードに構成します。

    iSCSI がサーバーとの対話処理を実行するためには、共有シークレットを使って RADIUS サーバーを構成する必要があります。

    # iscsiadm modify initiator-node --radius-shared-secret
Enter secret:
Re-enter secret
  4. RADIUS サーバーの使用を有効にします。
    # iscsiadm modify initiator-node --radius-access enable
  5. CHAP 双方向認証に関するその他の設定を行います。
    # iscsiadm modify initiator-node --authentication CHAP
# iscsiadm modify target-param --bi-directional-authentication enable target-iqn
# iscsiadm modify target-param --authentication CHAP target-iqn
  6. 次のコンポーネントを使用して RADIUS サーバーを構成します。

    • このノードの識別情報 (IP アドレスなど)

    • このノードが RADIUS サーバーとの通信に使用する共有秘密鍵

    • ターゲットの CHAP 名 (たとえば、iqn 名)、および認証の必要な各ターゲットの秘密鍵

Oracle Solaris iSCSI と RADIUS サーバーに関するエラーメッセージ

このセクションでは、Oracle Solaris iSCSI と RADIUS サーバーの構成に関するエラーメッセージについて説明します。復旧に役立つと思われるソリューションも提供します。

empty RADIUS shared secret

Cause: イニシエータ上で RADIUS サーバーが有効になっているにもかかわらず、RADIUS の共有秘密鍵が設定されていません。

解決策: RADIUS の共有秘密鍵をイニシエータに構成します。詳細は、RADIUS サーバーを iSCSI ターゲット用に構成する方法を参照してください。

WARNING: RADIUS packet authentication failed

Cause: イニシエータによる RADIUS データパケットの認証が失敗しました。このエラーが発生する可能性があるのは、イニシエータノード上に構成された共有秘密鍵が RADIUS サーバー上の共有秘密鍵と異なっている場合です。

解決策: 正しい RADIUS 共有シークレットをイニシエータに構成し直します。詳細は、RADIUS サーバーを iSCSI ターゲット用に構成する方法を参照してください。

Copyright © 2009, 2014, Oracle and/or its affiliates. All rights reserved.  著作権について
前へ
次へ