可以使用第三方 RADIUS 服务器来简化 CHAP 密钥管理。RADIUS 服务器充当集中验证服务。使用此方法时,推荐的做法是使用每个启动器节点的缺省 CHAP 名称。通常情况下,所有启动器使用缺省 CHAP 名称时,不必在目标上创建启动器上下文。
可以使用第三方 RADIUS 服务器来简化 CHAP 密钥管理。RADIUS 服务器充当集中验证服务。使用此方法时,推荐的做法是使用每个启动器节点的缺省 CHAP 名称。通常情况下,所有启动器使用缺省 CHAP 名称时,不必在目标上创建启动器上下文。
此过程假定您已登录到本地系统,并且要在此系统中安全地访问已配置的 iSCSI 目标设备。
缺省端口为 1812。一次在目标系统上针对所有 iSCSI 目标完成该配置。
initiator# itadm modify-defaults -r RADIUS-server-IP-address Enter RADIUS secret: ************ Re-enter secret: ************
initiator# itadm modify-defaults -d Enter RADIUS secret: ************ Re-enter secret: ************
可以为单个目标执行该配置,或作为所有目标的缺省配置。
initiator# itadm modify-target -a radius target-iqn
目标节点的标识(例如其 IP 地址)
目标节点用来与 RADIUS 服务器通信的共享密钥
每个启动器需要验证的启动器 CHAP 名称(例如其 iqn 名称)和密钥
可以使用第三方 RADIUS 服务器来简化 CHAP 密钥管理。RADIUS 服务器充当集中验证服务。此步骤只在启动器要求双向 CHAP 验证时才有用。尽管仍然必须指定启动器的 CHAP 密钥,但是,在将双向验证与 RADIUS 服务器结合使用时,不再需要在启动器上指定每个目标的 CHAP 密钥。RADIUS 可在启动器或目标上独立配置。启动器和目标不必使用 RADIUS。
缺省端口为 1812。
# iscsiadm modify initiator-node --radius-server ip-address:1812
iSCSI 与 RADIUS 服务器进行交互之前必须使用共享密钥配置 RADIUS 服务器。
# iscsiadm modify initiator-node --radius-shared-secret Enter secret: Re-enter secret
# iscsiadm modify initiator-node --radius-access enable
# iscsiadm modify initiator-node --authentication CHAP # iscsiadm modify target-param --bi-directional-authentication enable target-iqn # iscsiadm modify target-param --authentication CHAP target-iqn
此节点的标识(例如其 IP 地址)
此节点用来与 RADIUS 服务器通信的共享密钥
每个需要验证的目标的 CHAP 名称(例如其 iqn 名称)和密钥
本节介绍与 Oracle Solaris iSCSI 和 RADIUS 服务器配置相关的错误消息。还介绍了可能的恢复解决方法。
empty RADIUS shared secret
Cause: 已在启动器上启用了 RADIUS 服务器,但未设置 RADIUS 共享密钥。
解决方法: 使用 RADIUS 共享密钥配置启动器。有关更多信息,请参见如何为 iSCSI 目标配置 RADIUS 服务器。
WARNING: RADIUS packet authentication failed
Cause: 启动器无法验证 RADIUS 数据包。如果在启动器节点上配置的共享密钥不同于 RADIUS 服务器上的共享密钥,则会出现此错误。
解决方法: 使用正确的 RADIUS 共享密钥重新配置启动器。有关更多信息,请参见如何为 iSCSI 目标配置 RADIUS 服务器。