이 절차에서는 구성된 iSCSI 대상 장치에 안전하게 액세스하려는 로컬 시스템에 로그인했다고 가정합니다.
COMSTAR iSCSI 대상에 대한 CHAP 보안 키의 길이는 최소 12자, 최대 255자여야 합니다. 일부 개시자에서 지원하는 보안 키의 최대 길이는 이보다 더 짧습니다.
CHAP를 사용하여 자신을 식별하는 각 노드에는 사용자 이름과 암호가 모두 있어야 합니다. Oracle Solaris OS에서는 CHAP 사용자 이름이 기본적으로 개시자 또는 대상 노드 이름(즉, iqn 이름)으로 설정됩니다. CHAP 사용자 이름은 512바이트보다 작은 임의 길이의 텍스트로 설정할 수 있습니다. 512바이트 길이 제한은 Oracle Solaris 제한입니다. 하지만 CHAP 사용자 이름을 설정하지 않을 경우 초기화 시 노드 이름으로 설정됩니다.
중앙 집중식 인증 서비스로 작동하는 타사 RADIUS 서버를 사용하여 CHAP 보안 키 관리를 단순화할 수 있습니다. RADIUS를 사용하는 경우 RADIUS 서버가 노드 이름 세트 및 일치하는 CHAP 보안 키를 저장합니다. 인증을 수행하는 시스템이 요청자의 노드 이름 및 요청자가 제공한 보안을 RADIUS 서버로 전달합니다. RADIUS 서버는 보안 키가 지정된 노드 이름을 인증하는 데 적합한 키인지 확인합니다. iSCSI와 iSER은 모두 RADIUS 서버 사용을 지원합니다.
타사 RADIUS 서버 사용에 대한 자세한 내용은 타사 RADIUS 서버를 사용하여 iSCSI 구성에서 CHAP 관리 단순화를 참조하십시오.
자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.
기본 방법인 단방향 인증을 사용하면 대상이 개시자를 검증할 수 있습니다. 3-5단계만 완료합니다.
양방향 인증은 개시자가 대상을 인증할 수 있게 하여 두번째 보안 레벨을 추가합니다. 3-9단계를 완료합니다.
다음 명령은 CHAP 보안 키를 정의하는 대화 상자를 시작합니다.
initiator# iscsiadm modify initiator-node --CHAP-secret Enter CHAP secret: ************ Re-enter secret: ************
기본적으로 개시자의 CHAP 사용자 이름은 개시자 노드 이름으로 설정됩니다.
고유한 개시자 CHAP 사용자 이름을 사용하려면 다음 명령을 사용합니다.
initiator# iscsiadm modify initiator-node --CHAP-name new-CHAP-name
initiator# iscsiadm modify initiator-node --authentication CHAP
CHAP를 사용하려면 개시자 노드에 사용자 이름과 암호가 모두 있어야 합니다. 일반적으로 사용자 이름은 대상이 지정된 사용자 이름의 보안 키를 조회하는 데 사용됩니다.
대상과의 연결에 대해 양방향 CHAP를 사용으로 설정합니다.
initiator# iscsiadm modify target-param -B enable target-iqn
양방향 CHAP를 사용 안함으로 설정합니다.
initiator# iscsiadm modify target-param -B disable target-iqn
initiator# iscsiadm modify target-param --authentication CHAP target-iqn
다음 명령은 CHAP 보안 키를 정의하는 대화 상자를 시작합니다.
initiator# iscsiadm modify target-param --CHAP-secret target-iqn
기본적으로 대상의 CHAP 이름은 대상 이름으로 설정됩니다.
다음 명령을 사용하여 대상의 CHAP 이름을 변경할 수 있습니다.
initiator# iscsiadm modify target-param --CHAP-name target-CHAP-name