Quando si configura un LUN in Oracle ZFS Storage Appliance, è possibile esportare il volume su una destinazione iSCSI. Il servizio iSCSI consente ai responsabili avvio iSCSI di accedere alle destinazioni utilizzando il protocollo iSCSI.
Questo servizio supporta l'individuazione, la gestione e la configurazione mediante il protocollo iSNS. Il servizio iSCSI supporta sia l'autenticazione unidirezionale (dove la destinazione autentica il responsabile avvio) che l'autenticazione bidirezionale (dove la destinazione e il responsabile avvio si autenticano a vicenda) tramite CHAP (Challenge-Handshake Authentication Protocol). Il servizio supporta inoltre la gestione dei dati dell'autenticazione CHAP in un database RADIUS (Remote Authentication Dial-In User Service).
Il sistema esegue in primo luogo l'autenticazione, quindi l'autorizzazione, in due operazioni indipendenti. Se il responsabile avvio locale è dotato di un nome CHAP e di un valore segreto CHAP, il sistema esegue l'autenticazione. Se il responsabile avvio locale non dispone di proprietà CHAP, il sistema non esegue alcuna autenticazione e, pertanto, tutti i responsabili avvio sono idonei per l'autorizzazione.
Il servizio iSCSI consente di specificare un elenco globale dei responsabili avvio che è possibile utilizzare nei gruppi di responsabili avvio. Quando si utilizza iSCSI e l'autenticazione CHAP, è possibile utilizzare RADIUS come protocollo iSCSI che trasferisce tutte le autenticazioni CHAP al server RADIUS selezionato.
RADIUS è un sistema che consente id utilizzare un server centralizzato per eseguire l'autenticazione CHAP per conto dei nodi di storage. Quando si utilizza iSCSI e l'autenticazione CHAP, è possibile selezionare RADIUS per il protocollo iSCSI, che può essere applicato sia a iSCSI che a iSER (iSCSI Extensions for RDMA) e trasferisce tutte le autenticazioni CHAP al server RADIUS selezionato.
Per consentire a Oracle ZFS Storage Appliance di eseguire l'autenticazione CHAP utilizzando RADIUS, è necessario che si verifichino le condizioni elencate di seguito.
L'appliance deve specificare l'indirizzo del server RADIUS e un valore segreto da utilizzare per la comunicazione con tale server RADIUS.
Il server RADIUS deve avere una voce (ad esempio, nel file dei client) che indichi l'indirizzo dell'appliance e lo stesso valore segreto di cui sopra.
Il server RADIUS deve avere una voce (ad esempio, nel file degli utenti) che indichi il nome CHAP e il valore segreto CHAP corrispondente per ciascun responsabile avvio.
Se il responsabile avvio utilizza il proprio nome IQN come nome CHAP (configurazione consigliata) e l'appliance non richiede una voce Initiator separata per ciascuna casella Initiator, il server RADIUS può eseguire tutte le operazioni di autenticazione.
Se il responsabile avvio utilizza un nome CHAP separato, l'appliance deve avere una voce Initiator per il responsabile avvio che specifica il mapping da un nome IQN al nome CHAP. Tale voce Initiator non deve specificare il valore segreto CHAP per il responsabile avvio.