iSCSI ターゲットのCHAP認証の設定

Storage Gateway は、チャレンジハンドシェイク認証プロトコル () を使用してゲートウェイと iSCSI イニシエータ間の認証をサポートしますCHAP。CHAP は、iSCSI イニシエータのアイデンティティがボリュームとVTLデバイスターゲットへのアクセスを認証されていることを定期的に検証することで、再生攻撃から保護します。

注記

CHAP 設定はオプションですが、強くお勧めします。

を設定するにはCHAP、Storage Gateway コンソールとターゲットへの接続に使用する iSCSI イニシエータソフトウェアの両方で設定する必要があります。Storage Gateway は相互 を使用します。これはCHAP、イニシエータがターゲットを認証し、ターゲットがイニシエータを認証するときです。

ターゲットCHAPに相互を設定するには

1. で説明されているように、Storage Gateway コンソールCHAPで を設定しますStorage Gateway コンソールでVTLデバイスターゲットCHAPに を設定するには。

2. クライアントイニシエーターソフトウェアで、CHAP設定を完了します。

   • Windows クライアントCHAPで相互を設定するには、「」を参照してくださいWindows クライアントCHAPで相互を設定するには。

   • Red Hat Linux クライアントCHAPで相互を設定するには、「」を参照してくださいRed Hat Linux クライアントCHAPで相互を設定するには。

Storage Gateway コンソールでVTLデバイスターゲットCHAPに を設定するには

この手順では、仮想テープの読み書きに使用される 2 つのシークレットキーを指定します。同じキーを、クライアントのイニシエータを設定する手順でも使用します。

1. ナビゲーションペインで、[ Gateways] を選択します。

2. ゲートウェイを選択し、VTLデバイスタブを選択してすべてのVTLデバイスを表示します。

3. 設定するデバイスを選択しますCHAP。

4. CHAP 認証の設定ダイアログボックスに、リクエストされた情報を入力します。

   1. イニシエーター名 には、iSCSI イニシエーターの名前を入力します。この名前は Amazon iSCSI 修飾名 (IQN) で、先頭にターゲット名が続きiqn.1997-05.com.amazon:ます。次に例を示します。

      iqn.1997-05.com.amazon:your-tape-device-name

      イニシエーター名は、iSCSI イニシエーターソフトウェアを使用して確認できます。例えば、Windows クライアントの場合、名前は iSCSI イニシエータの設定タブの値です。詳細については、「Windows クライアントCHAPで相互を設定するには」を参照してください。

      注記

      イニシエータ名を変更するには、まず を非アクティブ化しCHAP、iSCSI イニシエータソフトウェアでイニシエータ名を変更してから、新しい名前CHAPでアクティブ化する必要があります。

   2. [Secret used to Authenticate Initiator] (イニシエータ認証に使用するシークレットキー) に、要求されるシークレットキーを入力します。

      このシークレットキーは、12 文字以上、16 文字以下である必要があります。この値は、イニシエータ (Windows クライアント) がターゲットCHAPに参加するために知っておく必要があるシークレットキーです。

   3. ターゲットの認証に使用されるシークレット (相互 CHAP) には、リクエストされたシークレットを入力します。

      このシークレットキーは、12 文字以上、16 文字以下である必要があります。この値は、イニシエータCHAPに参加するためにターゲットが知っておく必要があるシークレットキーです。

      注記

      ターゲットを認証するために使用されるシークレットキーは、イニシエータを認証するためのシークレットキーとは異なるものである必要があります。

   4. [Save] を選択します。

5. VTL デバイスタブで、iSCSI CHAP認証フィールドが true に設定されていることを確認します。

Windows クライアントCHAPで相互を設定するには

この手順では、コンソールCHAPのボリュームCHAPに対して を設定するのに使用したのと同じキーを使用して、Microsoft iSCSI イニシエータで を設定します。

1. iSCSI イニシエータがまだ開始されていない場合は、Windows クライアントコンピュータのスタートメニューで、実行 を選択し、 と入力しiscsicpl.exe、OK を選択してプログラムを実行します。

2. イニシエータ (Windows クライアント) の相互CHAP設定を設定します。

   1. [設定] タブを選択します。

      注記

      [Initiator Name] の値は、イニシエータおよび会社に固有の値です。前述の名前は、Storage Gateway コンソールのCHAP認証の設定ダイアログボックスで使用した値です。

      例の画像で表示されている名前は、デモンストレーション用です。

   2. を選択しますCHAP。

   3. iSCSI Initiator Mutual Chap Secret ダイアログボックスに、相互CHAPシークレット値を入力します。

      このダイアログボックスには、イニシエータ (Windows クライアント) がターゲット (ストレージボリューム) を認証するために使用するシークレットキーを入力します。このシークレットキーを使用すると、ターゲットはイニシエータに対する読み書きを実行できます。このシークレットは、Configure CHAP Authentication ダイアログボックスのターゲットの認証 (相互CHAP) に使用されるシークレットに入力されたシークレットと同じです。詳細については、「iSCSI ターゲットのCHAP認証の設定」を参照してください。

   4. 入力したキーが 12 文字未満または 16 文字を超える場合は、イニシエーターシーCHAPクレットエラーダイアログボックスが表示されます。

      [OK] をクリックし、もう一度キーを入力します。

3. 相互設定を完了するには、イニシエータのシークレットを使用してターゲットを設定しますCHAP。

   1. [Targets] タブを選択します。

   2. に設定するターゲットCHAPが現在接続されている場合は、ターゲットを選択して切断 を選択して、ターゲットを切断します。

   3. に設定するターゲットを選択しCHAP、接続 を選択します。

   4. [Connect to Target] ダイアログボックスで [Advanced] を選択します。

   5. 詳細設定ダイアログボックスで、 を設定しますCHAP。

      1. でCHAPログをアクティブ化を選択します。

      2. イニシエータを認証するために必要なシークレットキーを入力します。このシークレットは、CHAP認証の設定ダイアログボックスのイニシエーターの認証に使用されるシークレットに入力されたシークレットと同じです。詳細については、「iSCSI ターゲットのCHAP認証の設定」を参照してください。

      3. [Perform mutual authentication] を選択します。

      4. [OK] を選択して変更を適用します。

   6. [Connect to Target] ダイアログボックスで [OK] を選択します。

4. 正しいシークレットキーを指定した場合、ターゲットのステータスが [Connected] と表示されます。

Red Hat Linux クライアントCHAPで相互を設定するには

この手順では、Linux iSCSI イニシエータCHAPで、Storage Gateway コンソールでボリュームCHAPに対して を設定するのに使用したのと同じキーを使用して を設定します。

1. iSCSI デーモンが実行されており、ターゲットに既に接続していることを確認します。これら 2 つのタスクを完了していない場合は、「Linux クライアントへの接続」を参照してください。

2. を設定しようとしているターゲットの既存の設定を切断して削除しますCHAP。

   1. ターゲット名を検索し、定義済みの設定であることを確認するには、次のコマンドを使用して、保存されている設定の一覧を表示します。

      sudo /sbin/iscsiadm --mode node

   2. ターゲットから切断します。

      次のコマンドmyvolumeは、Amazon iSCSI 修飾名 () で定義されている という名前のターゲットから切断しますIQN。状況IQNに応じて、ターゲット名と を変更します。

      sudo /sbin/iscsiadm --mode node --logout GATEWAY_IP:3260,1 iqn.1997-05.com.amazon:myvolume

   3. ターゲットの設定を削除します。

      次のコマンドは、myvolume ターゲットに対する設定を削除します。

      sudo /sbin/iscsiadm --mode node --op delete --targetname iqn.1997-05.com.amazon:myvolume

3. iSCSI 設定ファイルを編集して をアクティブ化しますCHAP。

   1. イニシエータ (つまり、使用しているクライアント) の名前を取得します。

      次のコマンドは、/etc/iscsi/initiatorname.iscsi ファイルからイニシエータの名前を取得します。

      sudo cat /etc/iscsi/initiatorname.iscsi

      このコマンドの出力は次のようになります。

      InitiatorName=iqn.1994-05.com.redhat:8e89b27b5b8

   2. /etc/iscsi/iscsid.conf ファイルを開きます。

   3. ファイル内の次の行のコメントを解除し、 の正しい値を指定します。username, password, username_in および password_in.

      node.session.auth.authmethod = CHAP
      node.session.auth.username = username
      node.session.auth.password = password
      node.session.auth.username_in = username_in
      node.session.auth.password_in = password_in

      指定する値の説明については、次の表を参照してください。

      構成設定	値
      username	この手順の前のステップで検出したイニシエータ名です。この値は、iqn で始まります。例えば、 iqn.1994-05.com.redhat:8e89b27b5b8 は有効な です。username 値。
      password	イニシエータ (使用しているクライアント) がボリュームと通信するときにイニシエータを認証するために使用されるシークレットキー。
      username_in	ターゲットボリュームIQNの 。この値は、iqn で始まり、ターゲット名で終わります。例えば、 iqn.1997-05.com.amazon:myvolume は有効な です。username_in 値。
      password_in	ターゲット (ボリューム) がイニシエータと通信するときにターゲットを認証するために使用されるシークレットキー。

   4. 設定ファイルの変更を保存して、ファイルを閉じます。

4. ターゲットを検出して、ログインします。そのためには、「Linux クライアントへの接続」の手順に従ってください。