Go to main content
Guide de sécurité des systèmes Oracle® ZFS Storage Appliance, version OS8.6.x

Quitter la vue de l'impression

Mis à jour : Septembre 2016
 
 

Service de données iSCSI

Lorsque vous configurez un LUN sur Oracle ZFS Storage Appliance, vous pouvez exporter ce volume via une cible iSCSI. Le service iSCSI permet aux initiateurs iSCSI d'accéder aux cibles par le biais du protocole iSCSI.

Ce service prend en charge la détection, la gestion et la configuration à l'aide du protocole iSNS. Le service iSCSI prend en charge l'authentification unidirectionnelle (la cible authentifie l'initiateur) et bidirectionnelle (la cible et l'initiateur s'authentifient mutuellement) par le biais du protocole CHAP (Challenge-Handshake Authentication Protocol). De plus, le service prend en charge la gestion des données d'authentification CHAP dans une base de données RADIUS (Remote Authentication Dial-In User Service).

Le système commence par effectuer l'authentification puis l'autorisation au cours de deux étapes indépendantes. Si l'initiateur local possède un nom et une clé secrète CHAP, le système procède à l'authentification. Si l'initiateur local ne possède pas de propriétés CHAP, le système n'effectue pas d'authentification et tous les initiateurs sont éligibles à l'autorisation.

Le service iSCSI vous permet de spécifier une liste globale d'initiateurs que vous pouvez utiliser au sein de groupes d'initiateurs. Lors de l'utilisation d'une authentification iSCSI et CHAP, RADIUS peut être utilisé comme protocole iSCSI qui diffère toutes les authentifications CHAP sur le serveur RADIUS sélectionné.

Support RADIUS

RADIUS (Remote Authentication Dial-In User Service) est un système permettant d'utiliser un serveur centralisé pour effectuer l'authentification CHAP au nom des noeuds de stockage. Lorsque vous utilisez une authentification iSCSI et CHAP, vous pouvez sélectionner RADIUS pour le protocole iSCSI, qui s'applique à iSCSI et à iSER (iSCSI Extensions for RDMA) et envoie toutes les authentification CHAP au serveur RADIUS sélectionné.

Pour permettre à Oracle ZFS Storage Appliance d'effectuer l'authentification CHAP à l'aide de RADIUS, les conditions suivantes doivent être remplies :

  • L'appareil doit spécifier l'adresse du serveur RADIUS et le secret à utiliser lors de la communication avec le serveur RADIUS concerné

  • Le serveur RADIUS doit comporter une entrée (par exemple, dans son fichier clients) indiquant l'adresse de l'appareil et spécifiant le même secret que ci-dessus.

  • Le serveur RADIUS doit comporter une entrée (par exemple, dans son fichier utilisateurs) indiquant le nom et le secret CHAP pour chaque initiateur.

  • Si l'initiateur utilise son nom IQN en tant que nom CHAP (ce qui correspond à la configuration recommandée), l'appareil n'a pas besoin d'une entrée Initiator distincte pour chaque case Initiator, le serveur RADIUS peut effectuer toutes les étapes d'authentification.

  • Si l'initiateur utilise un nom CHAP distinct, l'appareil doit comporter une entrée Initiator distincte pour l'initiateur concerné indiquant le mappage d'un nom IQN vers un nom CHAP. Cette entrée Initiateur n'a pas besoin d'indiquer le secret CHAP de l'initiateur.

Copyright © 2014, 2016, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant