この手順では、ユーザーが現在ログインしているローカルシステムから構成済みの iSCSI ターゲットデバイスに安全にアクセスするものとします。
COMSTAR iSCSI ターゲットの CHAP 秘密鍵の長さは、12 文字以上かつ 255 文字以下にする必要があります。一部のイニシエータでは、サポートする秘密鍵の最大長がさらに短くなります。
自らの識別に CHAP を使用する各ノードは、ユーザー名とパスワードの両方が必要です。Oracle Solaris OS では、CHAP ユーザー名はデフォルトでイニシエータまたはターゲットのノード名 (つまり、iqn 名) に設定されます。CHAP ユーザー名は、512 バイト未満の任意の長さのテキストに設定できます。512 バイトの長さの制限は Oracle Solaris の制限です。ただし、CHAP ユーザー名を設定しない場合は、初期化のときにノード名に設定されます。
集中管理認証サービスとして機能する他社製の RADIUS サーバーを使用することで、CHAP 秘密鍵の管理を簡略化できます。RADIUS を使用するときに、RADIUS サーバーにはノード名と、一致する CHAP 秘密鍵のセットが格納されます。認証を実行するシステムは、要求元のノード名および提供された要求者のシークレットを RADIUS サーバーに転送します。RADIUS サーバーは、秘密鍵が、指定されたモード名を認証するのに適切な鍵かどうかを確認します。iSCSI と iSER のどちらも、RADIUS サーバーの使用をサポートします。
他社製の RADIUS サーバーの使用に関する詳細は、他社製の RADIUS サーバーを使用して iSCSI 構成内の CHAP 管理を単純化するを参照してください。
詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。
単方向認証 (デフォルトの方式) では、ターゲットがイニシエータを検証できます。手順 3 から 5 のみを実行してください。
双方向認証では、二次レベルのセキュリティーを追加する目的で、イニシエータがターゲットを認証することできます。手順 3 から 9 を実行してください。
次のコマンドは、CHAP の秘密鍵を定義するためのダイアログを起動します。
initiator# iscsiadm modify initiator-node --CHAP-secret Enter CHAP secret: ************ Re-enter secret: ************
デフォルトではイニシエータの CHAP ユーザー名は、イニシエータのノード名に設定されます。
次のコマンドを使用して、独自のイニシエータ CHAP ユーザー名を使用します。
initiator# iscsiadm modify initiator-node --CHAP-name new-CHAP-name
initiator# iscsiadm modify initiator-node --authentication CHAP
CHAP 認証では、イニシエータノードにユーザー名とパスワードが必要です。ユーザー名は通常、渡されたユーザー名の秘密鍵をターゲットが検索するために使用されます。
ターゲットとの接続用に双方向 CHAP を有効にします。
initiator# iscsiadm modify target-param -B enable target-iqn
双方向 CHAP を無効にします。
initiator# iscsiadm modify target-param -B disable target-iqn
initiator# iscsiadm modify target-param --authentication CHAP target-iqn
次のコマンドは、CHAP の秘密鍵を定義するためのダイアログを起動します。
initiator# iscsiadm modify target-param --CHAP-secret target-iqn
デフォルトでは、ターゲットの CHAP 名はターゲット名に設定されます。
次のコマンドを使用して、ターゲットの CHAP 名を変更できます。
initiator# iscsiadm modify target-param --CHAP-name target-CHAP-name