Go to main content
Oracle® ZFS Storage Appliance セキュリティーガイド、Release OS8.7.0

印刷ビューの終了

更新: 2017 年 3 月
 
 

iSCSI データサービス

Oracle ZFS Storage Appliance 上で LUN を構成すると、そのボリュームを iSCSI ターゲットにエクスポートできます。iSCSI サービスでは、iSCSI イニシエータが iSCSI プロトコルを使用してターゲットにアクセスできます。

このサービスは、iSNS プロトコルを使用した検出、管理、および構成をサポートします。iSCSI サービスは、チャレンジハンドシェイク認証プロトコル (CHAP) を使用して単方向 (ターゲットがイニシエータを認証する) および双方向 (ターゲットとイニシエータが相互に認証する) の両方の認証をサポートします。また、このサービスは RADIUS (Remote Authentication Dial-In User Service) データベースでの CHAP 認証データ管理もサポートします。

システムでは、2 つの独立したステップで、最初に認証を実行し、次に承認を実行します。ローカルイニシエータに CHAP 名と CHAP シークレットが指定されている場合は、システムによって認証が行われます。ローカルイニシエータに CHAP プロパティーが指定されていない場合は、認証が行われないため、すべてのイニシエータが承認の対象となります。

iSCSI サービスでは、イニシエータグループ内で使用できるイニシエータのグローバルリストを指定できます。iSCSI および CHAP 認証を使用する場合、RADIUS を iSCSI プロトコルとして使用して、選択した RADIUS サーバーにすべての CHAP 認証を持ち越すことができます。

RADIUS のサポート

RADIUS は、ストレージノードに代わって、集中管理されたサーバーを使用して CHAP 認証を実行するためのシステムです。iSCSI および CHAP 認証を使用する場合、iSCSI プロトコルに RADIUS を選択して iSCSI と iSCSI Extensions for RDMA (iSER) の両方を適用し、選択した RADIUS サーバーにすべての CHAP 認証を送信できます。

Oracle ZFS Storage Appliance が RADIUS を使用して CHAP 認証を実行できるようにするには、次の情報が一致する必要があります。

  • アプライアンスは、RADIUS サーバーのアドレスと、この RADIUS サーバーと通信するときに使用するシークレットを指定する必要があります。

  • RADIUS サーバーは、(たとえばクライアントファイル内の) エントリで、アプライアンスのアドレスおよび上記と同じシークレットを指定する必要があります。

  • RADIUS サーバーは、(たとえばユーザーファイル内の) エントリで、イニシエータごとに CHAP 名および対応する CHAP シークレットを指定する必要があります。

  • イニシエータが CHAP 名として自身の IQN 名を使用する場合 (推奨構成)、アプライアンスでは、イニシエータボックスごとに個別イニシエータエントリは必要ありません。RADIUS サーバーは、すべての認証手順を実行できます。

  • イニシエータが個別の CHAP 名を使用する場合は、アプライアンスに、IQN 名から CHAP 名へのマッピングを指定する、そのイニシエータのためのイニシエータエントリが存在する必要があります。このイニシエータエントリで、そのイニシエータの CHAP シークレットを指定する必要はありません。