Al configurar un LUN en Oracle ZFS Storage Appliance, puede exportar ese volumen por medio de un destino iSCSI. El servicio iSCSI permite a los iniciadores iSCSI utilizar el protocolo iSCSI para tener acceso a los destinos deseados.
El servicio admite realizar tareas de detección, gestión y configuración con el protocolo iSNS. El servicio iSCSI admite autenticación unidireccional (el destino autentica al iniciador) y bidireccional (el destino y el iniciador se autentican mutuamente) con el protocolo de autenticación por desafío mutuo (CHAP). Asimismo, el servicio admite la gestión de datos de autenticación de CHAP en una base de datos de servicio de autenticación remota telefónica de usuario (RADIUS).
El sistema realiza primero la autenticación y después la autorización, en dos pasos independientes. Si el iniciador local tiene un nombre CHAP y un secreto CHAP, el sistema realiza la autenticación. Si el iniciador local no tiene propiedades CHAP, el sistema no realiza ninguna autenticación, y, por lo tanto, todos los iniciadores son elegibles para autorización.
El servicio iSCSI le permite especificar una lista global de iniciadores que se pueden utilizar en grupos de iniciadores. Cuando use iSCSI y autenticación CHAP, RADIUS puede usarse como protocolo iSCSI que difiere todas las autenticaciones CHAP al servidor RADIUS seleccionado.
RADIUS es un sistema para usar un servidor centralizado con el fin de realizar la autenticación CHAP en nombre de los nodos de almacenamiento. Cuando usa iSCSI y autenticación CHAP, puede seleccionar RADIUS para el protocolo iSCSI, que se aplica a iSCSI y a extensiones de iSCSI para RDMA (iSER), y envía todas las autenticaciones CHAP al servidor RADIUS seleccionado.
Para permitir que Oracle ZFS Storage Appliance realice la autenticación CHAP con RADIUS, la siguiente información debe coincidir:
El dispositivo debe especificar la dirección del servidor RADIUS y un secreto para usar al comunicarse con el servidor RADIUS.
El servidor RADIUS debe tener una entrada (por ejemplo, en su archivo de cliente) que proporcione la dirección del dispositivo y especifique el mismo secreto antes mencionado.
El servidor RADIUS debe tener una entrada (por ejemplo, en su archivo de usuario) que proporcione el nombre CHAP y el secreto CHAP coincidente para cada iniciador.
Si el iniciador utiliza su nombre IQN como nombre CHAP (configuración recomendada) y el dispositivo no necesita una entrada de iniciador independiente para cada cuadro de iniciador, el servidor RADIUS puede realizar todos los pasos de autenticación.
Si el iniciador usa un nombre CHAP independiente, el dispositivo tiene que tener una entrada de iniciador para ese iniciador que especifique la asignación del nombre IQN al nombre CHAP. No es necesario que esta entrada de iniciador especifique el secreto CHAP del iniciador.