本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 iSCSI 目標的CHAP身分驗證
Storage Gateway 使用 Challenge-Handshake 身分驗證通訊協定 () 支援閘道與 iSCSI 啟動器之間的身分驗證CHAP。CHAP 會定期驗證 iSCSI 啟動器身分,以存取磁碟區和VTL裝置目標。
注意
CHAP 組態是選用的,但強烈建議這麼做。
若要設定 CHAP,您必須在 Storage Gateway 主控台和用於連線至目標的 iSCSI 啟動器軟體中同時設定它。Storage Gateway 使用相互 CHAP,也就是啟動者驗證目標,而目標驗證啟動者。
CHAP 為您的目標設定相互
-
在 Storage Gateway 主控台CHAP上設定 ,如 中所述在 Storage Gateway 主控台上CHAP設定VTL裝置目標。
-
在用戶端啟動器軟體中,完成CHAP組態:
-
若要在 Windows 用戶端CHAP上設定相互,請參閱 在 Windows 用戶端CHAP上設定相互。
-
若要在 Red Hat Linux 用戶端CHAP上設定相互,請參閱 在 Red Hat Linux 用戶端CHAP上設定相互。
-
在 Storage Gateway 主控台上CHAP設定VTL裝置目標
在此程序中,您指定兩個用於讀取和寫入虛擬磁帶的秘密金鑰。在此程序中,會使用這些相同的金鑰來設定用戶端啟動器。
-
在導覽窗格中,選擇 Gateways (網際網路閘道)。
-
選擇您的閘道,然後選擇VTL裝置索引標籤以顯示您的所有VTL裝置。
-
選擇您要CHAP設定的裝置。
-
在設定CHAP身分驗證對話方塊中提供請求的資訊。
-
在啟動器名稱 中,輸入 iSCSI 啟動器的名稱。此名稱是 Amazon iSCSI 合格名稱 (IQN),前面加上
iqn.1997-05.com.amazon:目標名稱。以下是範例。iqn.1997-05.com.amazon:your-tape-device-name您可以使用您的 iSCSI 啟動器軟體來尋找啟動器名稱。例如,對於 Windows 用戶端,名稱是 iSCSI 啟動器的組態索引標籤上的值。如需詳細資訊,請參閱在 Windows 用戶端CHAP上設定相互。
注意
若要變更啟動器名稱,您必須先停用 CHAP,變更 iSCSI 啟動器軟體中的啟動器名稱,然後使用CHAP新名稱啟用。
-
針對啟動器驗證所用的秘密,輸入所請求的秘密。
此秘密的長度必須最少為 12 個字元,最多為 16 個字元。此值是啟動者 (即 Windows 用戶端) 必須知道的秘密金鑰,才能CHAP參與目標。
-
對於用於驗證目標的秘密 (相互 CHAP),輸入請求的秘密。
此秘密的長度必須最少為 12 個字元,最多為 16 個字元。此值是目標必須知道的秘密金鑰,才能CHAP與發起者一起參與。
注意
用來驗證目標的秘密必須與驗證啟動器的秘密不同。
-
選擇 Save (儲存)。
-
-
在VTL裝置索引標籤上,確認 iSCSI CHAP身分驗證欄位設定為 true 。
在 Windows 用戶端CHAP上設定相互
在此程序中,您可以使用您在主控台CHAP上為磁碟區設定的相同金鑰,CHAP在 Microsoft iSCSI 啟動器中設定 。
-
如果尚未啟動 iSCSI 啟動器,請在 Windows 用戶端電腦的開始功能表上,選擇執行 ,輸入
iscsicpl.exe,然後選擇確定執行程式。 -
為啟動器 (即 Windows 用戶端) 設定相互CHAP組態:
-
選擇 Configuration (組態) 索引標籤。
注意
Initiator Name (啟動器名稱) 值對於啟動器和公司必須是唯一的。前面顯示的名稱是您在 Storage Gateway 主控台的設定CHAP身分驗證對話方塊中使用的值。
範例影像中所顯示的名稱僅供示範之用。
-
選擇 CHAP。
-
在 iSCSI Initiator Mutual Chap Secret 對話方塊中,輸入相互CHAP秘密值。
在此對話方塊中,您輸入啟動器 (Windows 用戶端) 用來驗證目標 (儲存磁碟區) 的秘密。此秘密可讓目標讀取和寫入啟動器。此秘密與在設定CHAP驗證對話方塊中用於驗證目標 (相互 CHAP) 的秘密中輸入的秘密相同。如需詳細資訊,請參閱設定 iSCSI 目標的CHAP身分驗證。
-
如果您輸入的金鑰少於 12 個字元或超過 16 個字元,則會出現啟動者CHAP秘密錯誤對話方塊。
選擇確定,然後重新輸入金鑰。
-
-
使用啟動者的秘密來設定目標,以完成相互CHAP組態。
-
選擇 Targets (目標) 標籤。
-
如果您要為 設定的目標CHAP目前已連線,請選擇目標,然後選擇中斷連線 以中斷連線。
-
選取您要為 設定的目標CHAP,然後選擇連線 。
-
在 Connect to Target (連線至目標) 對話方塊中,選擇 Advanced (進階)。
-
在進階設定對話方塊中,設定 CHAP。
-
選取在 上啟用CHAP登入。
-
輸入驗證啟動器所需的秘密。此秘密與在設定CHAP身分驗證對話方塊中用於驗證啟動器的秘密中輸入的秘密相同。如需詳細資訊,請參閱設定 iSCSI 目標的CHAP身分驗證。
-
選取 Perform mutual authentication (執行交互身分驗證)。
-
若要套用變更,請選擇 OK (確定)。
-
-
在 Connect to Target (連線至目標) 對話方塊中,選擇 OK (確定)。
-
-
如果您已提供正確的秘密金鑰,則目標會顯示 Connected (已連線) 狀態。
在 Red Hat Linux 用戶端CHAP上設定相互
在此程序中,您可以使用您在 Storage Gateway 主控台CHAP上為磁碟區設定的相同金鑰CHAP,在 Linux iSCSI 啟動器中設定 。
-
確保 iSCSI 常駐程式正在執行,且您已連線到目標。如果您尚未完成這兩項工作,請參閱連線到 Linux 用戶端。
-
中斷連線並移除您即將設定 之目標的任何現有組態CHAP。
-
若要尋找目標名稱,並確保它是已定義的組態,請使用下列命令列出儲存的組態。
sudo /sbin/iscsiadm --mode node -
與目標中斷連線。
下列命令會與
myvolumeAmazon iSCSI 合格名稱 () 中定義的名為 的目標中斷連線IQN。變更目標名稱,並IQN依您的情況所需變更目標名稱和 。sudo /sbin/iscsiadm --mode node --logoutGATEWAY_IP:3260,1 iqn.1997-05.com.amazon:myvolume -
移除目標的組態。
下列命令會移除
myvolume目標的組態。sudo /sbin/iscsiadm --mode node --op delete --targetname iqn.1997-05.com.amazon:myvolume
-
-
編輯 iSCSI 組態檔案以啟用 CHAP。
-
取得啟動器的名稱 (即您正在使用的用戶端)。
下列命令會從
/etc/iscsi/initiatorname.iscsi檔案取得啟動器名稱。sudo cat /etc/iscsi/initiatorname.iscsi此命令的輸出如下所示:
InitiatorName=iqn.1994-05.com.redhat:8e89b27b5b8 -
開啟
/etc/iscsi/iscsid.conf檔案。 -
取消註解檔案中的下列資料行,並指定正確的值
username,password,username_in和password_in.node.session.auth.authmethod = CHAP node.session.auth.username =usernamenode.session.auth.password =passwordnode.session.auth.username_in =username_innode.session.auth.password_in =password_in如需所要指定值的指導,請參閱下表。
組態設定 Value username您在此程序的前一個步驟中找到的啟動器名稱。此值的開頭為 iqn。例如,
iqn.1994-05.com.redhat:8e89b27b5b8是有效的username值。password啟動器 (您正在使用的用戶端) 與磁碟區通訊時,用來驗證啟動器的秘密金鑰。 username_inIQN 目標磁碟區的 。此值的開頭為 iqn,且結尾為目標名稱。例如,
iqn.1997-05.com.amazon:myvolume是有效的username_in值。password_in目標 (磁碟區) 與啟動器通訊時,用來驗證目標的秘密金鑰。
-
儲存組態檔案中的變更,然後關閉檔案。
-
-
搜索和登入目標。若要這麼做,請依照連線至 Linux 用戶端中的步驟進行。
