Configure la autenticación en banda a través de NVMe
A partir de ONTAP 9.12.1, se puede utilizar la interfaz de línea de comandos (CLI) de ONTAP para configurar la autenticación en banda (segura), bidireccional y unidireccional entre un host NVMe y una controladora mediante los protocolos NVME/TCP y NVMe/FC mediante la autenticación DH-HMAC-CHAP. A partir de ONTAP 9.14.1, la autenticación en banda se puede configurar en System Manager.
Para configurar la autenticación en banda, cada host o controladora debe estar asociado con una clave DH-HMAC-CHAP que es una combinación de NQN del host o controladora NVMe y un secreto de autenticación configurado por el administrador. Para que un host o una controladora NVMe autentiquen a su par, deben conocer la clave asociada con el par.
En la autenticación unidireccional, se configura una clave secreta para el host, pero no para la controladora. En la autenticación bidireccional, se configura una clave secreta para el host y la controladora.
SHA-256 es la función hash predeterminada y 2048 bits es el grupo DH predeterminado.
A partir de ONTAP 9.14.1, se puede usar System Manager para configurar la autenticación en banda mientras se crea o actualiza un subsistema NVMe, se crean o clonan espacios de nombres NVMe, o bien se añaden grupos de coherencia con nuevos espacios de nombres NVMe.
-
En el Administrador del sistema, haga clic en Hosts > Subsistema NVMe y, a continuación, haga clic en Agregar.
-
Añada el nombre del subsistema NVMe y seleccione la máquina virtual de almacenamiento y el sistema operativo del host.
-
Introduzca el NQN del host.
-
Seleccione Usar autenticación en banda junto al Host NQN.
-
Proporcione el secreto del host y el secreto de la controladora.
La clave DH-HMAC-CHAP es una combinación del NQN del host o controladora NVMe y un secreto de autenticación configurado por el administrador.
-
Seleccione la función hash y el grupo DH preferidos para cada host.
Si no selecciona una función hash y un grupo DH, SHA-256 se asigna como función hash predeterminada y 2048 bits se asigna como grupo DH predeterminado.
-
Opcionalmente, haga clic en Agregar y repita los pasos según sea necesario para agregar más host.
-
Haga clic en Guardar.
-
Para verificar que la autenticación en banda está habilitada, haga clic en System Manager > Hosts > Subsistema NVMe > Grid > Vista Peek.
Un icono de clave transparente junto al nombre del host indica que el modo unidireccional está activado. Una clave opaca junto al nombre del host indica que el modo bidireccional está activado.
-
Añada la autenticación DH-HMAC-CHAP al subsistema NVMe:
vserver nvme subsystem host add -vserver <svm_name> -subsystem <subsystem> -host-nqn <host_nqn> -dhchap-host-secret <authentication_host_secret> -dhchap-controller-secret <authentication_controller_secret> -dhchap-hash-function <sha-256|sha-512> -dhchap-group <none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit>
-
Compruebe que el protocolo de autenticación CHAP DH-HMAC se ha agregado al host:
vserver nvme subsystem host show
[ -dhchap-hash-function {sha-256|sha-512} ] Authentication Hash Function [ -dhchap-dh-group {none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit} ] Authentication Diffie-Hellman Group [ -dhchap-mode {none|unidirectional|bidirectional} ] Authentication Mode
-
Compruebe que la autenticación CHAP DH-HMAC se ejecutó durante la creación de la controladora NVMe:
vserver nvme subsystem controller show
[ -dhchap-hash-function {sha-256|sha-512} ] Authentication Hash Function [ -dhchap-dh-group {none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit} ] Authentication Diffie-Hellman Group [ -dhchap-mode {none|unidirectional|bidirectional} ] Authentication Mode