集中管理認証サービスとして機能するサードパーティー RADIUS (Remote Authentication Dial In User Service) サーバーを使用して、CHAP 秘密鍵の管理を簡略化できます。この方式では、各イニシエータノードでデフォルトの CHAP 名を使用することをお勧めします。すべてのイニシエータがデフォルトの CHAP 名を使用するという一般的な場合では、ターゲット上にイニシエータコンテキストを作成する必要はありません。RADIUS は、イニシエータまたはターゲットのいずれかの上に独立して構成できます。
この手順では、ローカルシステムにログインして構成済み iSCSI ターゲットデバイスにセキュアにアクセスしていることを前提とします。
詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
デフォルトのポートは 1812 です。この構成は、ターゲットシステム上のすべての iSCSI ターゲットに対して 1 回で完了します。
initiator# itadm modify-defaults -r RADIUS-server-IP-address Enter RADIUS secret: ************ Re-enter secret: ************
initiator# itadm modify-defaults -d Enter RADIUS secret: ************ Re-enter secret: ************
この構成は、個別のターゲットに実行することも、すべてのターゲットのデフォルトとして実行することもできます。
initiator# itadm modify-target -a radius target-iqn
ターゲットノードの識別情報 (IP アドレスなど)
ターゲットノードが RADIUS サーバーとの通信に使用する共有秘密鍵
イニシエータの CHAP 名 (たとえば、イニシエータの iqn 名)、および認証の必要な各イニシエータの秘密鍵
この設定が役に立つのは、イニシエータが双方向 CHAP 認証をリクエストしているときだけです。
詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
デフォルトのポートは 1812 です。
# iscsiadm modify initiator-node --radius-server ip-address:1812
# iscsiadm modify initiator-node --radius-shared-secret Enter secret: Re-enter secret
# iscsiadm modify initiator-node --radius-access enable
# iscsiadm modify initiator-node --authentication CHAP # iscsiadm modify target-param --bi-directional-authentication enable target-iqn # iscsiadm modify target-param --authentication CHAP target-iqn
このノードの識別情報 (IP アドレスなど)
このノードが RADIUS サーバーとの通信に使用する共有秘密鍵
ターゲットの CHAP 名 (たとえば、ターゲットの iqn 名)、および認証の必要な各ターゲットの秘密鍵
このセクションでは、Oracle Solaris iSCSI と RADIUS サーバーの構成に関係するエラーメッセージと、その考えられる解決法について説明します。
empty RADIUS shared secret
Cause: イニシエータ上で RADIUS サーバーが有効になっているにもかかわらず、RADIUS の共有秘密鍵が設定されていません。
解決策: RADIUS の共有秘密鍵をイニシエータに構成します。詳細は、RADIUS サーバーを iSCSI ターゲット用に構成する方法を参照してください。
WARNING: RADIUS packet authentication failed
Cause: イニシエータによる RADIUS データパケットの認証が失敗しました。このエラーが発生する可能性があるのは、イニシエータノード上に構成された共有秘密鍵が RADIUS サーバー上の共有秘密鍵と異なっている場合です。
解決策: 正しい RADIUS 共有シークレットをイニシエータに構成し直します。詳細は、RADIUS サーバーを iSCSI ターゲット用に構成する方法を参照してください。