iSCSI 대상에 대한 CHAP 인증 구성 - AWS Storage Gateway

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

iSCSI 대상에 대한 CHAP 인증 구성

Storage Gateway는 Challenge-Handshake 인증 프로토콜()을 사용하여 게이트웨이와 iSCSI 이니시에이터 간의 인증을 지원합니다CHAP.CHAP 는 볼륨 및 VTL 디바이스 대상에 액세스하기 위해 인증된 iSCSI 이니시에이터의 ID를 주기적으로 확인하여 재생 공격으로부터 보호합니다.

참고

CHAP 구성은 선택 사항이지만 적극 권장됩니다.

를 설정하려면 Storage Gateway 콘솔과 대상에 연결하는 데 사용하는 iSCSI 이니시에이터 소프트웨어에서 모두 구성해야 CHAP합니다. Storage Gateway는 상호 를 사용합니다. 즉CHAP, 이니시에이터가 대상을 인증하고 대상이 이니시에이터를 인증하는 경우입니다.

대상CHAP에 대해 상호 설정하려면

  1. CHAP 에 설명된 대로 Storage Gateway 콘솔에서 를 구성합니다Storage Gateway 콘솔에서 VTL 디바이스 대상에 CHAP 대해 를 구성하려면.

  2. 클라이언트 이니시에이터 소프트웨어에서 CHAP 구성을 완료합니다.

Storage Gateway 콘솔에서 VTL 디바이스 대상에 CHAP 대해 를 구성하려면

이 절차에서는 가상 테이프에 읽고 쓰는 데 사용하는 비밀 키 두 개를 지정합니다. 이 동일한 키 두 개는 클라이언트 초기자를 구성하는 절차에서 사용합니다.

  1. 탐색 창에서 게이트웨이를 선택합니다.

  2. 게이트웨이를 선택한 다음 VTL 디바이스 탭을 선택하여 모든 VTL 디바이스를 표시합니다.

  3. 구성할 디바이스를 선택합니다CHAP.

  4. CHAP 인증 구성 대화 상자에 요청된 정보를 입력합니다.

    1. 이니시에이터 이름에 iSCSI 이니시에이터의 이름을 입력합니다. 이 이름은 Amazon iSCSI 자격 증명 이름(IQN)으로, 앞에 iqn.1997-05.com.amazon: 대상 이름이 붙습니다. 다음은 예입니다.

      iqn.1997-05.com.amazon:your-tape-device-name

      iSCSI initiator 소프트웨어를 사용하여 이니시에이터 이름을 찾을 수 있습니다. 예를 들어 Windows 클라이언트의 경우 이름은 iSCSI 이니시에이터의 구성 탭에 있는 값입니다. 자세한 내용은 Windows 클라이언트CHAP에서 상호 구성 단원을 참조하십시오.

      참고

      이니시에이터 이름을 변경하려면 먼저 를 비활성화하고 iSCSI 이니시에이터 소프트웨어에서 이니시에이터 이름을 CHAP변경한 다음 CHAP 새 이름으로 활성화해야 합니다.

    2. 이니시에이터를 인증하는 데 사용되는 암호에 요청된 암호를 입력합니다.

      이 비밀 문구는 최소 12자, 최대 16자여야 합니다. 이 값은 이니시에이터(즉, Windows 클라이언트)가 CHAP 대상에 참여하기 위해 알아야 하는 보안 키입니다.

    3. 대상 인증에 사용되는 보안 암호(상호 CHAP)에 요청된 보안 암호를 입력합니다.

      이 비밀 문구는 최소 12자, 최대 16자여야 합니다. 이 값은 대상이 CHAP 이니시에이터에 참여하기 위해 알아야 하는 보안 키입니다.

      참고

      대상을 인증하는 데 사용한 비밀 문구는 초기자 인증을 위한 비밀 문구와는 달라야 합니다.

    4. 저장(Save)을 선택합니다.

  5. VTL 디바이스 탭에서 iSCSI CHAP 인증 필드가 true 로 설정되어 있는지 확인합니다.

Windows 클라이언트CHAP에서 상호 구성

이 절차에서는 콘솔CHAP의 볼륨에 CHAP 대해 구성하는 데 사용한 것과 동일한 키를 사용하여 Microsoft iSCSI 이니시에이터에서 를 구성합니다.

  1. iSCSI 이니시에이터가 아직 시작되지 않은 경우 Windows 클라이언트 컴퓨터의 시작 메뉴에서 실행 을 선택하고 를 입력한 iscsicpl.exe다음 확인을 선택하여 프로그램을 실행합니다.

  2. 이니시에이터(즉, Windows 클라이언트)에 대한 상호 CHAP 구성을 구성합니다.

    1. 구성 탭을 선택합니다.

      참고

      이니시에이터 이름 값은 초기자 및 회사에 고유합니다. 앞의 이름은 Storage Gateway 콘솔의 CHAP 인증 구성 대화 상자에서 사용한 값입니다.

      예시 이미지에 표시된 이름은 데모용일 뿐입니다.

    2. 를 선택합니다CHAP.

    3. iSCSI Initiator Mutual Chap Secret 대화 상자에서 상호 CHAP 비밀 값을 입력합니다.

      이 대화 상자에서 초기자(Windows 클라이언트)가 대상(스토리지 볼륨)을 인증하는 데 사용하는 비밀 문구를 입력합니다. 이 비밀 문구를 사용하면 대상이 초기자에(서) 읽고 쓸 수 있습니다. 이 보안 암호는 CHAP 인증 구성 대화 상자의 대상 인증(상호 CHAP)에 사용되는 보안 암호 상자에 입력된 보안 암호와 동일합니다. 자세한 내용은 iSCSI 대상에 대한 CHAP 인증 구성 단원을 참조하십시오.

    4. 입력한 키의 길이가 12자 미만이거나 16자를 초과하는 경우 이니시에이터 CHAP 보안 암호 오류 대화 상자가 나타납니다.

      확인을 선택한 후 키를 다시 입력합니다.

  3. 이니시에이터의 보안 암호로 대상을 구성하여 상호 CHAP 구성을 완료합니다.

    1. 대상 탭을 선택합니다.

    2. 에 대해 구성하려는 대상이 CHAP 현재 연결되어 있는 경우 대상을 선택하고 연결 해제를 선택합니다.

    3. 에 구성할 대상을 선택한 CHAP다음 연결을 선택합니다.

    4. Connect to Target(대상으로 연결) 대화 상자에서 고급을 선택합니다.

    5. 고급 설정 대화 상자에서 를 구성합니다CHAP.

      1. CHAP 로그온 활성화를 선택합니다.

      2. 이니시에이터를 인증하는 데 필요한 암호를 입력합니다. 이 보안 암호는 CHAP 인증 구성 대화 상자의 시작자 인증에 사용되는 보안 암호 상자에 입력된 보안 암호와 동일합니다. 자세한 내용은 iSCSI 대상에 대한 CHAP 인증 구성 단원을 참조하십시오.

      3. Perform mutual authentication(상호 인증 수행)을 선택합니다.

      4. 변경 사항을 적용하려면 확인을 선택합니다.

    6. Connect to Target(대상으로 연결) 대화 상자에서 확인을 선택합니다.

  4. 정확한 비밀 키를 입력하면 대상이 연결 상태 상태로 표시됩니다.

Red Hat Linux 클라이언트CHAP에서 상호 구성

이 절차에서는 Storage Gateway 콘솔CHAP의 볼륨에 CHAP 대해 를 구성하는 데 사용한 것과 동일한 키를 사용하여 Linux iSCSI 이니시에이터에서 를 구성합니다.

  1. iSCSI 데몬이 실행 중이고 대상에 이미 연결되어 있는지 확인합니다. 이 두 작업을 완료하지 않은 경우, Linux 클라이언트에 연결 섹션을 참조하세요.

  2. 구성하려는 대상에 대한 기존 구성을 분리하고 제거합니다CHAP.

    1. 대상 이름을 찾고 그것이 정의된 구성인지 확인하려면 다음 명령을 사용하여 저장된 구성의 목록을 조회합니다.

      sudo /sbin/iscsiadm --mode node

    2. 대상에서 연결을 해제합니다.

      다음 명령myvolume은 Amazon iSCSI 적격 이름()에 정의된 라는 대상과 연결이 해제됩니다IQN. 상황에 IQN 따라 대상 이름 및 를 변경합니다.

      sudo /sbin/iscsiadm --mode node --logout GATEWAY_IP:3260,1 iqn.1997-05.com.amazon:myvolume

    3. 대상에 대한 구성을 제거합니다.

      다음 명령은 myvolume 대상에 대한 구성을 제거합니다.

      sudo /sbin/iscsiadm --mode node --op delete --targetname iqn.1997-05.com.amazon:myvolume

  3. iSCSI 구성 파일을 편집하여 를 활성화합니다CHAP.

    1. 초기자(즉 사용 중인 클라이언트)의 이름을 가져옵니다.

      다음 명령은 /etc/iscsi/initiatorname.iscsi 파일에서 초기자 이름을 가져옵니다.

      sudo cat /etc/iscsi/initiatorname.iscsi

      이 명령의 출력은 다음과 같습니다.

      InitiatorName=iqn.1994-05.com.redhat:8e89b27b5b8

    2. /etc/iscsi/iscsid.conf 파일을 엽니다.

    3. 파일에서 다음 줄의 주석을 취소하고 에 대한 올바른 값을 지정합니다.username, password, username_in, 및 password_in.

      node.session.auth.authmethod = CHAP
node.session.auth.username = username
node.session.auth.password = password
node.session.auth.username_in = username_in
node.session.auth.password_in = password_in

      지정할 값에 대한 지침은 다음 표를 참조하십시오.

      구성 설정
      username

      이 절차의 이전 단계에서 찾은 초기자 이름. 그 값은 IQN으로 시작합니다. 예를 들어 iqn.1994-05.com.redhat:8e89b27b5b8는 유효한 username 값입니다.
      password 초기자(사용 중인 클라이언트)가 볼륨과 통신할 때 초기자를 인증하는 데 사용하는 비밀 키
      username_in

      대상 볼륨IQN의 . 이 값은 IQN으로 시작하여 대상 이름으로 끝납니다. 예를 들어 iqn.1997-05.com.amazon:myvolume는 유효한 username_in 값입니다.
      password_in

      대상(볼륨)이 초기자와 통신할 때 대상을 인증하는 데 사용하는 비밀 키

    4. 구성 파일에 변경 사항을 저장한 후 파일을 닫습니다.

  4. 대상을 검색하여 로그인합니다. 이렇게 하려면 Linux 클라이언트에 연결에 설명된 단계를 수행하세요.