Como configurar a autenticação CHAP para destinos iSCSI - AWS Storage Gateway

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como configurar a autenticação CHAP para destinos iSCSI

O Storage Gateway oferece suporte à autenticação entre o gateway e os iniciadores iSCSI usando o Challenge-Handshake Authentication Protocol (CHAP). O CHAP fornece proteção contra ataques de reprodução verificando periodicamente a identidade de um iniciador iSCSI como autenticado para acessar um volume e um dispositivo VTL de destino.

nota

A configuração do CHAP é opcional, mas altamente recomendada.

Para configurar o CHAP, você precisa configurá-lo tanto no console do Storage Gateway quanto no software do iniciador iSCSI usado para conexão com o destino. O Storage Gateway usa o CHAP mútuo, caso em que o iniciador autentica o destino e o destino autentica o iniciador.

Para configurar o CHAP mútuo para seus destinos

  1. Configure o CHAP no console Storage Gateway, conforme discutido em Para configurar o CHAP para um destino de dispositivo de VTL no console do Storage Gateway.

  2. No software do iniciador do cliente, preencha a configuração do CHAP:

Para configurar o CHAP para um destino de dispositivo de VTL no console do Storage Gateway

Neste procedimento, você especifica duas chaves secretas usadas para ler e gravar em uma fita virtual. Essas mesmas chaves são usadas no procedimento para configurar o iniciador do cliente.

  1. No painel de navegação, selecione Gateways da .

  2. Escolha seu gateway e, em seguida, selecione a guia VTL Devices para exibir todos os seus dispositivos de VTL.

  3. Escolha o dispositivo para o qual você deseja configurar o CHAP.

  4. Forneça as informações solicitadas na caixa de diálogo Configurar autenticação CHAP, mostrada na captura de tela a seguir.

    1. Em Nome do iniciador, digite o nome do iniciador iSCSI. Esse nome é um nome qualificado Amazon iSCSI (IQN) que é precedido por iqn.1997-05.com.amazon: e seguido pelo nome de destino. Veja um exemplo a seguir.

      iqn.1997-05.com.amazon:your-tape-device-name

      Você pode localizar o nome do iniciador usando o software do iniciador iSCSI. Por exemplo, para clientes Windows, o nome é o valor na guia Configuração do iniciador iSCSI. Para obter mais informações, consulte Para configurar o CHAP mútuo em um cliente Windows.

      nota

      Para alterar um nome de iniciador, você deve primeiro desativar o CHAP, alterar o nome do iniciador no software do iniciador iSCSI e, em seguida, ativar o CHAP com o novo nome.

    2. Em Segredo usado para autenticar o iniciador, digite o segredo solicitado.

      Esse segredo deve ter no mínimo 12 caracteres e no máximo 16 caracteres de extensão. Esse valor é a chave secreta que o iniciador (ou seja, o cliente Windows) deve conhecer para participar do CHAP com o destino.

    3. Em segredo usado para autenticar o destino (CHAP mútuo), digite o segredo solicitado.

      Esse segredo deve ter no mínimo 12 caracteres e no máximo 16 caracteres de extensão. Esse valor é a chave secreta que o destino (ou seja, o cliente Windows) deve conhecer para participar do CHAP com o destino.

      nota

      O segredo usado para autenticar o destino deve ser diferente do segredo para autenticar o iniciador.

    4. Escolha Salvar.

  5. Na guia Dispositivos de VTL, confirme se o campo de autenticação CHAP iSCSI é definido como verdadeiro.

Para configurar o CHAP mútuo em um cliente Windows

Neste procedimento, você configurará o CHAP no iniciador iSCSI da Microsoft usando as mesmas chaves que usou para configurar o CHAP para o volume no console.

  1. Se o iniciador iSCSI ainda não tiver sido iniciado, no menu Iniciar do computador cliente Windows, escolha Executar, digite iscsicpl.exe e escolha OK para executar o programa.

  2. Defina a configuração de CHAP mútuo para o iniciador (isto é, o cliente Windows):

    1. Escolha a guia Configuração.

      nota

      O valor Initiator Name é exclusivo para o iniciador e a empresa. O nome mostrado anteriormente é o valor que você usou na caixa de diálogo Configurar autenticação CHAP do console do Storage Gateway.

      O nome mostrado na imagem de exemplo é apenas demonstrativo.

    2. Selecione CHAP.

    3. Na caixa de diálogo iSCSI Initiator Mutual Chap Secret, digite o valor secreto do CHAP mútuo.

      Nessa caixa de diálogo, insira o segredo que o iniciador (o cliente Windows) usa para autenticar o destino (o volume de armazenamento). Esse segredo permite que o destino leia e grave no iniciador. Esse segredo é o mesmo que o segredo digitado na caixa Segredo usado para autenticar o destino (CHAP mútuo) na caixa de diálogo Configurar autenticação do CHAP. Para obter mais informações, consulte Como configurar a autenticação CHAP para destinos iSCSI.

    4. Se a chave que você digitou tiver menos de 12 caracteres ou mais de 16 caracteres de extensão, será exibida a caixa de diálogo de erro Segredo do iniciador CHAP.

      Escolha OK e digite a chave novamente.

  3. Configure o destino com o segredo do iniciador para concluir a configuração do CHAP mútuo.

    1. Escolha a guia Destinos.

    2. Se o destino que você deseja configurar para o CHAP estiver conectado no momento, desconecte-o. Para isso, selecione-o e escolha Desconectar.

    3. Selecione o destino para o qual você deseja configurar o CHAP e, em seguida, escolha Conectar.

    4. Na caixa de diálogo Conectar-se Ao Destino, escolha Avançado.

    5. Na caixa de diálogo Configurações avançadas, configure o CHAP.

      1. Selecione Ativar login do CHAP.

      2. Insira o segredo que é exigido para autenticar o iniciador. Este segredo é o mesmo que o segredo digitado na caixa Segredo usado para autenticar o iniciador na caixa de diálogo Configurar a autenticação CHAP. Para obter mais informações, consulte Como configurar a autenticação CHAP para destinos iSCSI.

      3. Selecione Executar autenticação mútua.

      4. Para aplicar as alterações, escolha OK.

    6. Na caixa de diálogo Conectar-se Ao Destino, escolha OK.

  4. Se você forneceu a chave secreta, o destino correto exibirá o status Conectado.

Para configurar o CHAP mútuo em um cliente Red Hat Linux

Neste procedimento, você configurará o CHAP no iniciador iSCSI Linux usando as mesmas chaves que usou para configurar o CHAP para o volume no console do Storage Gateway.

  1. Primeiramente, o daemon iSCSI deve estar em execução e você já deve estar conectado a um destino. Se você não tiver concluído essas duas tarefas, consulte Como se conectar a um cliente Linux.

  2. Desconecte e remova qualquer configuração existente para o destino para o qual você está prestes a configurar o CHAP.

    1. Para encontrar o nome do destino e garantir que se trata de uma configuração definida, relacione as configurações salvas usando o comando a seguir.

      sudo /sbin/iscsiadm --mode node

    2. Desconecte-se do destino.

      O comando a seguir desconecta o destino chamado myvolume definido no nome qualificado de iSCSI (IQN) da Amazon. Altere o nome do destino e o IQN conforme sua situação exigir.

      sudo /sbin/iscsiadm --mode node --logout GATEWAY_IP:3260,1 iqn.1997-05.com.amazon:myvolume

    3. Remova a configuração do destino.

      O comando a seguir remove a configuração do destino myvolume.

      sudo /sbin/iscsiadm --mode node --op delete --targetname iqn.1997-05.com.amazon:myvolume

  3. Edite o arquivo de configuração iSCSI para ativar o CHAP.

    1. Obtenha o nome do iniciador (ou seja, o cliente que você está usando).

      O comando a seguir obtém o nome do iniciador do arquivo /etc/iscsi/initiatorname.iscsi.

      sudo cat /etc/iscsi/initiatorname.iscsi

      A saída desse comando é semelhante a esta:

      InitiatorName=iqn.1994-05.com.redhat:8e89b27b5b8

    2. Abra o arquivo /etc/iscsi/iscsid.conf.

    3. Remova o comentário das linhas a seguir no arquivo e especifique os valores corretos para usernamepassword,username_in, e. password_in

      node.session.auth.authmethod = CHAP
node.session.auth.username = username
node.session.auth.password = password
node.session.auth.username_in = username_in
node.session.auth.password_in = password_in

      Para obter orientações sobre os valores que deve especificar, consulte a tabela a seguir.

      Definição da configuração Valor
      username

      O nome do iniciador que você encontrou na etapa anterior deste procedimento. O valor começa com iqn. Por exemplo, iqn.1994-05.com.redhat:8e89b27b5b8 é um username valor válido.
      password A chave secreta usada para autenticar o iniciador (o cliente que você está usando) quando ele se comunica com o volume.
      username_in

      O IQN do volume de destino. O valor começa com iqn e termina com o nome do destino. Por exemplo, iqn.1997-05.com.amazon:myvolume é um username_in valor válido.
      password_in

      A chave secreta usada para autenticar o destino (o volume) quando ele se comunica com o iniciador.

    4. Salve as alterações no arquivo de configuração e, em seguida, feche o arquivo.

  4. Descubra e faça login no destino. Para fazer isso, siga as etapas em Como se conectar a um cliente Linux.