Quando configura um LUN no Oracle ZFS Storage Appliance, você pode exportar esse volume por meio de um destino iSCSI. O serviço iSCSI permite que os iniciadores iSCSI acessem destinos usando o protocolo iSCSI.
Esse serviço suporta a descoberta, o gerenciamento e a configuração com o protocolo iSNS. O serviço iSCSI suporta a autenticação unidirecional (o destino autentica o iniciador) e bidirecional (o destino e o iniciador autenticam um o outro) usando CHAP (Challenge-Handshake Authentication Protocol). Além disso, ele suporta o gerenciamento de dados de autenticação CHAP em um banco de dados RADIUS (Remote Authentication Dial-In User Service).
Primeiro, o sistema executa a autenticação e, em seguida, a autorização, em duas etapas independentes. Se o iniciador local tiver um nome e um segredo CHAP, o sistema executará a autenticação. Se o iniciador local não tiver propriedades CHAP, o sistema não executará a autenticação e, portanto, todos os iniciadores estarão qualificados para autorização.
O serviço iSCSI permite especificar uma lista global de iniciadores que pode ser usada nos grupos de iniciadores. Quando a autenticação iSCSI ou CHAP é usada, o RADIUS pode ser utilizado como o protocolo iSCSI que transfere todas as autenticações CHAP para o servidor RADIUS selecionado.
O RADIUS é um sistema que permite utilizar um servidor centralizado para executar a autenticação CHAP dos nós de armazenamento. Ao usar a autenticação iSCSI e CHAP, você poderá selecionar o RADIUS para o protocolo iSCSI, que aplicará o iSCSI e o iSER (iSCSI Extensions for RDMA) e enviará todas as autenticações CHAP para o servidor RADIUS selecionado.
Para permitir que o Oracle ZFS Storage Appliance execute a autenticação CHAP usando RADIUS, as seguintes informações devem estar corretas:
O appliance deve especificar o endereço do servidor RADIUS e um segredo para ser usado durante a comunicação com esse servidor.
O servidor RADIUS deve ter uma entrada (por exemplo, no arquivo do cliente) que forneça o endereço do appliance e especifique o mesmo segredo especificado anteriormente.
O servidor RADIUS deve ter uma entrada (por exemplo, no arquivo do usuário) que forneça o nome CHAP e o segredo CHAP correspondente de cada iniciador.
Se o iniciador usar o seu nome IQN como o seu nome CHAP (a configuração recomendada), e o appliance não precisar de uma entrada Initiator separada para cada caixa Initiator, o servidor RADIUS poderá executar todas as etapas de autenticação.
Se o iniciador usar um nome CHAP diferente, o appliance deverá ter uma entrada Initiator para o iniciador que especifique o mapeamento de um nome IQN para o nome CHAP. Essa entrada Initiator não precisa especificar o segredo CHAP do iniciador.