在 Oracle ZFS Storage Appliance 上配置 LUN 时,您可以通过 iSCSI 目标导出该卷。通过 iSCSI 服务,iSCSI 启动器可以使用 iSCSI 协议访问目标。
该服务支持使用 iSNS 协议进行搜索、管理和配置。iSCSI 服务支持使用质询握手验证协议 (Challenge-Handshake Authentication Protocol, CHAP) 的单向验证(目标对启动器进行验证)和双向验证(目标和启动器相互验证)。此外,该服务还支持远程验证拨入用户服务 (Remote Authentication Dial-In User Service, RADIUS) 数据库中的 CHAP 验证数据管理。
系统首先执行验证,然后进行授权,这在两个独立的步骤中进行。如果本地启动器具有 CHAP 名称和 CHAP 密钥,则系统将执行验证。如果本地启动器没有 CHAP 属性,则系统不会执行任何验证,因此所有启动器都将符合授权条件。
通过 iSCSI 服务,您可以指定能够在启动器组内使用的启动器的全局列表。使用 iSCSI 和 CHAP 验证时,RADIUS 可用作延迟选定 RADIUS 服务器的所有 CHAP 验证的 iSCSI 协议。
RADIUS 是代表存储节点使用中央服务器执行 CHAP 验证的系统。使用 iSCSI 和 CHAP 验证时,可为 iSCSI 协议选择 RADIUS,这可同时应用 iSCSI 和 RDMA 的 iSCSI 扩展 (iSCSI Extensions for RDMA, iSER),然后将所有 CHAP 验证发送到选定的 RADIUS 服务器。
为使 Oracle ZFS Storage Appliance 能够使用 RADIUS 执行 CHAP 验证,必须满足以下要求:
设备必须指定 RADIUS 服务器的地址,以及与该 RADIUS 服务器通信时要使用的密钥。
RADIUS 服务器必须有一个条目(例如,在其客户机文件中)指明设备的地址并指定与上面相同的密钥。
RADIUS 必须有一个条目(例如,在其用户文件中)提供 CHAP 名称并与每个启动器的 CHAP 密钥匹配。
如果启动器使用其 IQN 名称作为 CHAP 名称(这是建议的配置)且设备无需在每个 "Initiator"(启动器)框中分别输入启动器条目,则 RADIUS 服务器可执行所有验证步骤。
如果启动器使用单独的 CHAP 名称,则设备必须有一个启动器条目对应于该启动器并指定从 IQN 名称到 CHAP 名称的映射关系。该启动器条目无需指定启动器的 CHAP 密钥。