Wenn Sie eine LUN in Oracle ZFS Storage Appliance konfigurieren, können Sie dieses Volume über ein iSCSI-Ziel exportieren. Mit dem iSCSI-Service können iSCSI-Initiatoren über das iSCSI-Protokoll auf Ziele zugreifen.
Dieser Service unterstützt Discovery, Verwaltung und Konfiguration mittels iSNS-Protokoll. Der iSCSI-Service unterstützt sowohl unidirektionale (Ziel authentifiziert Initiator) als auch bidirektionale (Ziel und Initiator authentifizieren sich gegenseitig) Authentifizierung über CHAP (Challenge-Handshake Authentication Protocol). Außerdem unterstützt der Service die CHAP-Authentifizierungsdatenverwaltung in einer RADIUS-(Remote Authentication Dial-In User Service-)Datenbank.
Das System führt in zwei voneinander unabhängigen Schritten zuerst die Authentifizierung und anschließend die Autorisierung durch. Wenn der lokale Initiator einen CHAP-Namen und ein CHAP Secret besitzt, nimmt das System die Authentifizierung vor. Besitzt der lokale Initiator keine CHAP-Eigenschaften, führt das System keine Authentifizierung durch, sodass alle Initiatoren autorisierungsberechtigt sind.
Mit dem iSCSI-Service können Sie eine globale Initiatorenliste angeben, die Sie innerhalb der Initiatorengruppen verwenden können. Bei der Verwendung der iSCSI- und CHAP-Authentifizierung kann RADIUS als das iSCSI-Protokoll dienen, das alle CHAP-Authentifizierungen dem gewählten RADIUS-Server überlässt.
RADIUS ist ein System, bei dem ein zentralisierter Server zur Ausführung von CHAP-Authentifizierungen für Speicherknoten eingesetzt wird. Wenn Sie iSCSI- und CHAP-Authentifizierung verwenden, können Sie RADIUS als iSCSI-Protokoll wählen. Dadurch wird sowohl iSCSI als auch iSER (iSCSI Extensions for RDMA) angewendet, und alle CHAP-Authentifizierungen werden an den gewählten RADIUS-Server gesendet.
Damit die Oracle ZFS Storage Appliance eine CHAP-Authentifizierung mittels RADIUS ausführen kann, müssen folgende Angaben gemacht werden:
Die Appliance muss die Adresse des RADIUS-Servers und ein Secret angeben, das zur Kommunikation mit diesem RADIUS-Server eingesetzt werden soll.
Der RADIUS-Server muss (beispielsweise in seiner Clientdatei) einen Eintrag aufweisen, der die Adresse der Appliance und dasselbe Secret wie oben erwähnt angibt.
Der RADIUS-Server muss (beispielsweise in seiner Benutzerdatei) einen Eintrag aufweisen, der für jeden Initiator den CHAP-Namen und das zugehörige CHAP Secret angibt.
Wenn der Initiator seinen IQN-Namen als CHAP-Namen verwendet (empfohlene Konfiguration) und die Appliance keinen separaten Initiatoreintrag für jedes Initiatorfeld erfordert, kann der RADIUS-Server alle Authentifizierungsschritte durchführen.
Verwendet der Initiator einen anderen CHAP-Namen, muss die Appliance einen Initiatoreintrag für den Initiator haben, der die Zuordnung zwischen IQN-Name und CHAP-Name angibt. In diesem Initiatoreintrag muss das CHAP Secret für den Initiator nicht angegeben werden.