Konfiguration der CHAP Authentifizierung für Ihre SCSI i-Ziele - AWS Storage Gateway

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration der CHAP Authentifizierung für Ihre SCSI i-Ziele

Storage Gateway unterstützt die Authentifizierung zwischen Ihrem Gateway und SCSI i-Initiatoren mithilfe des Challenge-Handshake Authentication Protocol (). CHAP CHAPbietet Schutz vor Playback-Angriffen, indem die Identität eines SCSI i-Initiators, der für den Zugriff auf ein Volume und ein Geräteziel authentifiziert wurde, regelmäßig überprüft wird. VTL

Anmerkung

CHAPDie Konfiguration ist optional, wird aber dringend empfohlen.

Zur Einrichtung CHAP müssen Sie es sowohl auf der Storage Gateway Gateway-Konsole als auch in der SCSI i-Initiator-Software konfigurieren, mit der Sie eine Verbindung zum Ziel herstellen. Storage Gateway verwendet MutualCHAP, d. h. der Initiator authentifiziert das Ziel und das Ziel authentifiziert den Initiator.

Um Mutual für Ihre Ziele einzurichten CHAP

  1. Konfigurieren Sie CHAP auf der Storage Gateway Gateway-Konsole, wie unter beschrieben So konfigurieren Sie CHAP für ein VTL Geräteziel auf der Storage Gateway Gateway-Konsole.

  2. Schließen Sie in Ihrer Client-Initiator-Software die CHAP Konfiguration ab:

So konfigurieren Sie CHAP für ein VTL Geräteziel auf der Storage Gateway Gateway-Konsole

In dieser Anleitung geben Sie zwei geheime Schlüssel an, die verwendet werden, um von dem virtuellen Bandlaufwerk zu lesen und auf das virtuelle Bandlaufwerk zu schreiben. Dieselben Schlüssel werden auch in der Anleitung zur Konfiguration des Client-Initiators verwendet.

  1. Wählen Sie im Navigationsbereich Gateways aus.

  2. Wählen Sie Ihr Gateway und dann die Registerkarte VTLGeräte, um alle Ihre VTL Geräte anzuzeigen.

  3. Wählen Sie das Gerät aus, CHAP für das Sie konfigurieren möchten.

  4. Geben Sie die angeforderten Informationen im Dialogfeld „CHAPAuthentifizierung konfigurieren“ ein.

    1. Geben Sie als Initiatorname den Namen Ihres SCSI i-Initiators ein. Dieser Name ist ein SCSI qualifizierter Amazon-I-Name (IQN), dem ein vorangestellt wird, iqn.1997-05.com.amazon: gefolgt vom Zielnamen. Im Folgenden wird ein Beispiel gezeigt.

      iqn.1997-05.com.amazon:your-tape-device-name

      Sie können den Initiatornamen mithilfe Ihrer SCSI i-Initiator-Software ermitteln. Bei Windows-Clients ist der Name beispielsweise der Wert auf der Registerkarte Konfiguration des i-Initiators. SCSI Weitere Informationen finden Sie unter Um Mutual CHAP auf einem Windows-Client zu konfigurieren.

      Anmerkung

      Um einen Initiatornamen zu ändern, müssen Sie ihn zunächst deaktivierenCHAP, den Initiatornamen in Ihrer SCSI i-Initiator-Software ändern und dann CHAP mit dem neuen Namen aktivieren.

    2. Geben Sie unter Für Authentifizierung des Initiators verwendeter geheimer Schlüssel den entsprechenden geheimen Schlüssel ein.

      Dieser geheime Schlüssel muss mindestens 12 Zeichen lang sein und darf höchstens 16 Zeichen lang sein. Dieser Wert ist der geheime Schlüssel, den der Initiator (d. h. der Windows-Client) kennen muss, um an dem Ziel teilnehmen CHAP zu können.

    3. Geben Sie für Secret used to Authenticate Target (MutualCHAP) das angeforderte Geheimnis ein.

      Dieser geheime Schlüssel muss mindestens 12 Zeichen lang sein und darf höchstens 16 Zeichen lang sein. Dieser Wert ist der geheime Schlüssel, den das Ziel kennen muss, um CHAP mit dem Initiator teilnehmen zu können.

      Anmerkung

      Für die Authentifizierung des Ziels müssen Sie einen anderen geheimen Schlüssel verwenden als für die Authentifizierung des Initiators.

    4. Wählen Sie Save (Speichern) aus.

  5. Vergewissern Sie sich auf der Registerkarte VTLGeräte, dass das Feld SCSI CHAP i-Authentifizierung auf true gesetzt ist.

Um Mutual CHAP auf einem Windows-Client zu konfigurieren

In diesem Verfahren konfigurieren Sie CHAP im Microsoft SCSI i-Initiator mit denselben Schlüsseln, die Sie CHAP für die Konfiguration des Volumes auf der Konsole verwendet haben.

  1. Falls der SCSI i-Initiator noch nicht gestartet wurde, klicken Sie im Startmenü Ihres Windows-Client-Computers auf Ausführen, geben Sie die Eingabetaste einiscsicpl.exe, und klicken Sie dann auf OK, um das Programm auszuführen.

  2. Konfigurieren Sie die gemeinsame CHAP Konfiguration für den Initiator (d. h. den Windows-Client):

    1. Wählen Sie die Registerkarte Konfiguration aus.

      Anmerkung

      Der Wert im Feld Initiatorname ist für Ihren Initiator und Ihre Firma eindeutig. Der oben angezeigte Name ist der Wert, den Sie im Dialogfeld „CHAPAuthentifizierung konfigurieren“ der Storage Gateway Gateway-Konsole verwendet haben.

      Der Name auf dem Screenshot dient ausschließlich Demonstrationszwecken.

    2. Wählen Sie CHAP.

    3. Geben Sie im Dialogfeld „i SCSI Initiator Mutual Chap Secret“ den Wert für das gegenseitige CHAP Geheimnis ein.

      In diesem Dialogfeld geben Sie den geheimen Schlüssel ein, den der Initiator (Windows-Client) zur Authentifizierung des Ziels (Speicher-Volume) verwendet. Dieser geheime Schlüssel gewährt dem Ziel Lese- und Schreibrechte für den Initiator. Dieser geheime Schlüssel entspricht dem Geheimnis, das im Dialogfeld Authentifizierung konfigurieren CHAP in das Feld Secret used to Authenticate Target (MutualCHAP) eingegeben wurde. Weitere Informationen finden Sie unter Konfiguration der CHAP Authentifizierung für Ihre SCSI i-Ziele.

    4. Wenn der von Ihnen eingegebene Schlüssel weniger als 12 Zeichen oder mehr als 16 Zeichen lang ist, wird ein Fehlerdialogfeld mit dem CHAPInitiatorgeheimnis angezeigt.

      Klicken Sie auf OK und geben Sie den Schlüssel erneut ein.

  3. Konfigurieren Sie das Ziel mit dem geheimen Schlüssel des Initiators, um die gemeinsame CHAP Konfiguration abzuschließen.

    1. Wählen Sie die Registerkarte Ziele.

    2. Wenn das Ziel, für das Sie konfigurieren möchten, derzeit verbunden CHAP ist, trennen Sie das Ziel, indem Sie es auswählen und dann Trennen wählen.

    3. Wählen Sie das Ziel aus, für das Sie konfigurieren möchtenCHAP, und wählen Sie dann Connect aus.

    4. Klicken Sie im Dialogfeld Connect to Target (Mit Ziel verbinden) auf Advanced (Erweitert).

    5. Konfigurieren Sie im Dialogfeld „Erweiterte Einstellungen“CHAP.

      1. Wählen Sie CHAPAnmeldung aktivieren aus.

      2. Geben Sie den zum Authentifizieren des Initiators erforderlichen geheimen Schlüssel ein. Dieser geheime Schlüssel entspricht dem Geheimnis, das im Dialogfeld Authentifizierung konfigurieren CHAP in das Feld Secret to Authenticate Initiator eingegeben wurde. Weitere Informationen finden Sie unter Konfiguration der CHAP Authentifizierung für Ihre SCSI i-Ziele.

      3. Wählen Sie Perform mutual authentication (Wechselseitige Authentifizierung ausführen) aus.

      4. Klicken Sie auf OK, um die Änderungen anzuwenden.

    6. Klicken Sie im Dialogfeld Mit Ziel verbinden auf OK.

  4. Wenn Sie den richtigen geheimen Schlüssel angegeben haben, wird für das Ziel der Status Connected (Verbunden) angezeigt.

Um Mutual CHAP auf einem Red Hat Linux-Client zu konfigurieren

In diesem Verfahren konfigurieren Sie CHAP im Linux SCSI i-Initiator mit denselben Schlüsseln, die Sie CHAP für die Konfiguration des Volumes auf der Storage Gateway Gateway-Konsole verwendet haben.

  1. Stellen Sie sicher, dass der SCSI i-Daemon läuft und dass Sie bereits eine Verbindung zu einem Ziel hergestellt haben. Falls Sie diese beiden Aufgaben nicht abgeschlossen haben, finden Sie weitere Informationen unter Herstellen einer Verbindung mit einem Linux-Client.

  2. Trennen Sie die Verbindung und entfernen Sie alle vorhandenen Konfigurationen für das Ziel, für das Sie die Konfiguration CHAP vornehmen möchten.

    1. Listen Sie mithilfe des folgenden Befehls die gespeicherten Konfigurationen auf, um den Zielnamen zu ermitteln und sich zu vergewissern, dass es sich um eine definierte Konfiguration handelt:

      sudo /sbin/iscsiadm --mode node

    2. Trennen Sie die Verbindung mit dem Ziel.

      Mit dem folgenden Befehl wird myvolume die Verbindung zu dem im Amazon i SCSI qualified name (IQN) definierten Ziel getrennt. Ändern Sie den Zielnamen und je nach IQN Bedarf für Ihre Situation.

      sudo /sbin/iscsiadm --mode node --logout GATEWAY_IP:3260,1 iqn.1997-05.com.amazon:myvolume

    3. Entfernen Sie die Konfiguration des Ziels.

      Der folgende Befehl entfernt die Konfiguration für das Ziel myvolume.

      sudo /sbin/iscsiadm --mode node --op delete --targetname iqn.1997-05.com.amazon:myvolume

  3. Bearbeiten Sie die SCSI i-Konfigurationsdatei, um sie zu aktivierenCHAP.

    1. Rufen Sie den Namen des Initiators ab (also den des Clients, den Sie verwenden).

      Der folgende Befehl ruft den Namen des Initiators aus der Datei /etc/iscsi/initiatorname.iscsi ab:

      sudo cat /etc/iscsi/initiatorname.iscsi

      Die Ausgabe dieses Befehls sieht in etwa wie folgt aus:

      InitiatorName=iqn.1994-05.com.redhat:8e89b27b5b8

    2. Öffnen Sie die /etc/iscsi/iscsid.conf Datei.

    3. Kommentieren Sie die folgenden Zeilen in der Datei aus und geben Sie die richtigen Werte für an username, password, username_in, und password_in.

      node.session.auth.authmethod = CHAP
node.session.auth.username = username
node.session.auth.password = password
node.session.auth.username_in = username_in
node.session.auth.password_in = password_in

      Einen Überblick über die anzugebenden Werte finden Sie in der nachfolgenden Tabelle.

      Konfigurationseinstellung Wert
      username

      Gibt den Initiatornamen an, den Sie im vorherigen Schritt der Anleitung abgerufen haben. Der Wert beginnt mit iqn. Ist zum Beispiel iqn.1994-05.com.redhat:8e89b27b5b8 ein gültiger username Wert.
      password Gibt den geheimen Schlüssel an, der zur Authentifizierung des Initiators (also des verwendeten Clients) verwendet wird, wenn dieser mit dem Volume kommuniziert.
      username_in

      Der IQN des Zielvolumens. Der Wert beginnt mit iqn und endet mit dem Namen des Ziels. Zum Beispiel iqn.1997-05.com.amazon:myvolume ist ein gültiger username_in Wert.
      password_in

      Gibt den geheimen Schlüssel an, der zur Authentifizierung des Ziels (also des Volumes) verwendet wird, wenn dieses mit dem Initiator kommuniziert.

    4. Speichern Sie die Änderungen in der Konfigurationsdatei und schließen Sie die Datei.

  4. Führen Sie eine Erkennung des Ziels durch und melden Sie sich beim Ziel an. Folgen Sie dazu den Schritten unter Herstellen einer Verbindung mit einem Linux-Client.