此过程假定您已登录到本地系统,并且要在此系统中安全地访问已配置的 iSCSI 目标设备。
COMSTAR iSCSI 目标的 CHAP 密钥长度必须最少为 12 个字符,最多为 255 个字符。有些启动器只支持少于最大长度的密钥。
使用 CHAP 识别自己的每个节点必须具有用户名和口令。缺省情况下,在 Oracle Solaris OS 中会将 CHAP 用户名设置为启动器或目标节点名称(即 iqn 名称)。可以将 CHAP 用户名设置为小于 512 个字节的任意长度的文本。512 个字节长度限制是 Oracle Solaris 的限制。但是,如果未设置 CHAP 用户名,则系统会在初始化时将其设置为节点名称。
可以使用第三方 RADIUS 服务器来简化 CHAP 密钥管理,RADIUS 服务器充当集中验证服务。使用 RADIUS 时,RADIUS 服务器会存储节点名称组并匹配 CHAP 密钥。执行验证的系统将请求程序的节点名称和提供的机密转发给 RADIUS 服务器。RADIUS 服务器确认密钥是否是验证给定节点名称的合适密钥。iSCSI 和 iSER 均支持使用 RADIUS 服务器。
有关使用第三方 RADIUS 服务器的更多信息,请参见使用第三方 RADIUS 服务器简化 iSCSI 配置中的 CHAP 管理。
单向验证可使目标验证启动器。此方法为缺省方法。只需完成步骤 3-5 即可。
双向验证通过使启动器验证目标提供了更高级别的安全性。请完成步骤 3-9。
以下命令将启动一个用于定义 CHAP 密钥的对话框:
initiator# iscsiadm modify initiator-node --CHAP-secret Enter CHAP secret: ************ Re-enter secret: ************
缺省情况下,启动器的 CHAP 用户名会设置为启动器节点名称。
使用以下命令来使用启动器的 CHAP 用户名:
initiator# iscsiadm modify initiator-node --CHAP-name new-CHAP-name
initiator# iscsiadm modify initiator-node --authentication CHAP
CHAP 要求启动器节点具有用户名和口令。用户名通常由目标用于查找给定用户名的密钥。
启用双向 CHAP 以与目标连接。
initiator# iscsiadm modify target-param -B enable target-iqn
禁用双向 CHAP。
initiator# iscsiadm modify target-param -B disable target-iqn
initiator# iscsiadm modify target-param --authentication CHAP target-iqn
以下命令将启动一个用于定义 CHAP 密钥的对话框:
initiator# iscsiadm modify target-param --CHAP-secret target-iqn
缺省情况下,目标的 CHAP 名称会设置为目标名称。
可以使用以下命令来更改目标的 CHAP 名称:
initiator# iscsiadm modify target-param --CHAP-name target-CHAP-name