Go to main content
Oracle® Solaris 11.3 での SAN デバイスとマルチパス化の管理

印刷ビューの終了

更新: 2016 年 11 月
 
 

サードパーティー RADIUS サーバーを使用して iSCSI 構成内の CHAP 管理を簡略化する

集中管理認証サービスとして機能するサードパーティー RADIUS (Remote Authentication Dial In User Service) サーバーを使用して、CHAP 秘密鍵の管理を簡略化できます。この方式では、各イニシエータノードでデフォルトの CHAP 名を使用することをお勧めします。すべてのイニシエータがデフォルトの CHAP 名を使用するという一般的な場合では、ターゲット上にイニシエータコンテキストを作成する必要はありません。RADIUS は、イニシエータまたはターゲットのいずれかの上に独立して構成できます。

RADIUS サーバーを iSCSI ターゲット用に構成する方法

この手順では、ローカルシステムにログインして構成済み iSCSI ターゲットデバイスにセキュアにアクセスしていることを前提とします。

  1. 管理者になります。

    詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。

  2. RADIUS サーバーの IP アドレスとポートを使用して、イニシエータノードを構成します。

    デフォルトのポートは 1812 です。この構成は、ターゲットシステム上のすべての iSCSI ターゲットに対して 1 回で完了します。

    initiator# itadm modify-defaults -r RADIUS-server-IP-address
Enter RADIUS secret: ************
Re-enter secret: ************
  3. ターゲットと RADIUS サーバー間の通信に使用される共有秘密鍵を構成します。 
    initiator# itadm modify-defaults -d
Enter RADIUS secret: ************
Re-enter secret: ************
  4. RADIUS 認証を必要とするようにターゲットシステムを構成します。

    この構成は、個別のターゲットに実行することも、すべてのターゲットのデフォルトとして実行することもできます。

    initiator# itadm modify-target -a radius target-iqn
  5. 次の情報を使用して RADIUS サーバーを構成します。

    • ターゲットノードの識別情報 (IP アドレスなど)

    • ターゲットノードが RADIUS サーバーとの通信に使用する共有秘密鍵

    • イニシエータの CHAP 名 (たとえば、イニシエータの iqn 名)、および認証の必要な各イニシエータの秘密鍵

RADIUS サーバーを iSCSI イニシエータ用に構成する方法

この設定が役に立つのは、イニシエータが双方向 CHAP 認証をリクエストしているときだけです。

  1. 管理者になります。

    詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。

  2. RADIUS サーバーの IP アドレスとポートを使用して、イニシエータノードを構成します。

    デフォルトのポートは 1812 です。

    # iscsiadm modify initiator-node --radius-server ip-address:1812
  3. iSCSI がサーバーと対話できるように RADIUS サーバーの共有秘密鍵でイニシエータノードを構成します。 
    # iscsiadm modify initiator-node --radius-shared-secret
Enter secret:
Re-enter secret
  4. RADIUS サーバーの使用を有効にします。 
    # iscsiadm modify initiator-node --radius-access enable
  5. CHAP 双方向認証を設定します。 
    # iscsiadm modify initiator-node --authentication CHAP
# iscsiadm modify target-param --bi-directional-authentication enable target-iqn
# iscsiadm modify target-param --authentication CHAP target-iqn
  6. 次の情報を使用して RADIUS サーバーを構成します。

    • このノードの識別情報 (IP アドレスなど)

    • このノードが RADIUS サーバーとの通信に使用する共有秘密鍵

    • ターゲットの CHAP 名 (たとえば、ターゲットの iqn 名)、および認証の必要な各ターゲットの秘密鍵

Oracle Solaris iSCSI と RADIUS サーバーのトラブルシューティング

このセクションでは、Oracle Solaris iSCSI と RADIUS サーバーの構成に関係するエラーメッセージと、その考えられる解決法について説明します。

empty RADIUS shared secret

Cause:  イニシエータ上で RADIUS サーバーが有効になっているにもかかわらず、RADIUS の共有秘密鍵が設定されていません。

解決策:  RADIUS の共有秘密鍵をイニシエータに構成します。詳細は、RADIUS サーバーを iSCSI ターゲット用に構成する方法を参照してください。

WARNING: RADIUS packet authentication failed

Cause:  イニシエータによる RADIUS データパケットの認証が失敗しました。このエラーが発生する可能性があるのは、イニシエータノード上に構成された共有秘密鍵が RADIUS サーバー上の共有秘密鍵と異なっている場合です。

解決策:  正しい RADIUS 共有シークレットをイニシエータに構成し直します。詳細は、RADIUS サーバーを iSCSI ターゲット用に構成する方法を参照してください。

Copyright © 2009, 2016, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ