| ナビゲーションリンクをスキップ | |
| 印刷ビューの終了 | |
|
Oracle® ZFS Storage Appliance セキュリティーガイド、Release 2013.1.3.0 |
Oracle ZFS Storage Appliance セキュリティーガイド
Oracle ZFS Storage Appliance セキュリティーの概要
Oracle ZFS Storage Appliance RESTful API
Lightweight Directory Access Protocol
Simple Mail Transport Protocol
Oracle ZFS Storage Appliance 上で LUN を構成すると、そのボリュームを iSCSI ターゲットにエクスポートできます。iSCSI サービスでは、iSCSI イニシエータが iSCSI プロトコルを使用してターゲットにアクセスできます。
このサービスは、iSNS プロトコルを使用した検出、管理、および構成をサポートします。iSCSI サービスは、チャレンジハンドシェイク認証プロトコル (CHAP) を使用して単方向 (ターゲットがイニシエータを認証する) および双方向 (ターゲットとイニシエータが相互に認証する) の両方の認証をサポートします。また、このサービスは RADIUS (Remote Authentication Dial-In User Service) データベースでの CHAP 認証データ管理もサポートします。
システムでは、2 つの独立したステップで、最初に認証を実行し、次に承認を実行します。ローカルイニシエータに CHAP 名と CHAP シークレットが指定されている場合は、システムによって認証が行われます。ローカルイニシエータに CHAP プロパティーが指定されていない場合は、認証が行われないため、すべてのイニシエータが承認の対象となります。
iSCSI サービスでは、イニシエータグループ内で使用できるイニシエータのグローバルリストを指定できます。iSCSI および CHAP 認証を使用する場合、RADIUS を iSCSI プロトコルとして使用して、選択した RADIUS サーバーにすべての CHAP 認証を持ち越すことができます。
RADIUS は、ストレージノードに代わって、集中管理されたサーバーを使用して CHAP 認証を実行するためのシステムです。iSCSI および CHAP 認証を使用する場合、iSCSI プロトコルに RADIUS を選択して iSCSI と iSCSI Extensions for RDMA (iSER) の両方を適用し、選択した RADIUS サーバーにすべての CHAP 認証を送信できます。
Oracle ZFS Storage Appliance が RADIUS を使用して CHAP 認証を実行できるようにするには、次の情報が一致する必要があります。
アプライアンスは、RADIUS サーバーのアドレスと、この RADIUS サーバーと通信するときに使用するシークレットを指定する必要があります。
RADIUS サーバーは、(たとえばクライアントファイル内の) エントリで、アプライアンスのアドレスおよび上記と同じシークレットを指定する必要があります。
RADIUS サーバーは、(たとえばユーザーファイル内の) エントリで、イニシエータごとに CHAP 名および対応する CHAP シークレットを指定する必要があります。
イニシエータが CHAP 名として自身の IQN 名を使用する場合 (推奨構成)、アプライアンスでは、イニシエータボックスごとに個別イニシエータエントリは必要ありません。RADIUS サーバーは、すべての認証手順を実行できます。
イニシエータが個別の CHAP 名を使用する場合は、アプライアンスに、IQN 名から CHAP 名へのマッピングを指定する、そのイニシエータのためのイニシエータエントリが存在する必要があります。このイニシエータエントリで、そのイニシエータの CHAP シークレットを指定する必要はありません。
|