當您在 Oracle ZFS Storage Appliance 上設定 LUN 時,您可以透過 iSCSI 目標來匯出該磁碟區。iSCSI 服務讓 iSCSI 啟動器可以使用 iSCSI 協定來存取目標。
此服務支援使用 iSNS 協定來進行尋找、管理以及組態。iSCSI 服務支援使用「查問交握式認證協定 (Challenge-Handshake Authentication Protocol, CHAP)」來進行單向 (目標認證啟動器) 和雙向 (目標和啟動器相互認證) 認證。再者,此服務支援「遠端認證撥入使用者服務 (Remote Authentication Dial-In User Service, RADIUS)」資料庫中的 CHAP 認證資料管理。
系統會先執行認證後再予以授權,這是兩個獨立的步驟。如果本機啟動器有 CHAP 名稱和 CHAP 密碼,系統就會執行認證。如果本機啟動器沒有 CHAP 特性,則系統不會執行任何認證,因此所有啟動器都可取得授權。
iSCSI 服務可讓您指定啟動器的全域清單,您可以在啟動器群組內使用此清單。使用 iSCSI 和 CHAP 認證時,RADIUS 可以作為 iSCSI 協定將所有 CHAP 認證委託給所選的 RADIUS 伺服器。
RADIUS 系統會使用集中式伺服器來代替儲存節點執行 CHAP 認證。使用 iSCSI 和 CHAP 認證時,您可以選取 RADIUS 作為 iSCSI 協定 (iSCSI 和 iSCSI Extensions for RDMA (iSER) 皆適用),然後將所有 CHAP 認證傳送給選取的 RADIUS 伺服器。
若要允許 Oracle ZFS Storage Appliance 使用 RADIUS 執行 CHAP 認證,必須符合下列條件:
設備必須指定與此 RADIUS 伺服器通訊時要使用的 RADIUS 伺服器位址與密碼。
RADIUS 伺服器必須有一個能夠指定設備位址和上述密碼的項目 (例如,在其用戶端檔案中)。
RADIUS 伺服器必須有一個能夠提供每個啟動器之 CHAP 名稱和相符 CHAP 密碼的項目 (例如,在其使用者檔案中)。
如果啟動器使用其 IQN 名稱作為 CHAP 名稱 (這是建議的配置),且設備不需要在每個「啟動器」方塊使用不同的「啟動器」項目,則 RADIUS 伺服器可以執行所有的認證步驟。
如果啟動器使用不同的 CHAP 名稱,則設備在啟動器中就必須有一個指定 IQN 名稱與 CHAP 名稱對應的「啟動器」項目。此「啟動器」項目不需要指定啟動器的 CHAP 密碼。