Qué es la autenticación CHAP
El protocolo de autenticación por desafío mutuo (CHAP) permite la comunicación autenticada entre iniciadores y destinos iSCSI. Cuando se utiliza la autenticación CHAP, se definen los nombres de usuario y las contraseñas CHAP tanto en el iniciador como en el sistema de almacenamiento.
Durante la fase inicial de una sesión iSCSI, el iniciador envía una solicitud de inicio de sesión al sistema de almacenamiento para iniciar la sesión. La solicitud de inicio de sesión incluye el nombre de usuario CHAP del iniciador y el algoritmo CHAP. El sistema de almacenamiento responde con un desafío CHAP. El iniciador proporciona una respuesta CHAP. El sistema de almacenamiento verifica la respuesta y autentica el iniciador. La contraseña CHAP se utiliza para calcular la respuesta.
Directrices para usar la autenticación CHAP
Debe seguir ciertas directrices al utilizar la autenticación CHAP.
-
Si define un nombre de usuario y una contraseña entrantes en el sistema de almacenamiento, debe usar el mismo nombre de usuario y contraseña para la configuración de CHAP saliente en el iniciador. Si también define un nombre de usuario y una contraseña de salida en el sistema de almacenamiento para habilitar la autenticación bidireccional, debe usar el mismo nombre de usuario y la misma contraseña para la configuración de CHAP entrante en el iniciador.
-
No es posible usar el mismo nombre de usuario y contraseña para la configuración de entrada y salida en el sistema de almacenamiento.
-
Los nombres de usuario CHAP pueden tener entre 1 y 128 bytes.
No se permite un nombre de usuario nulo.
-
Las contraseñas CHAP (secretos) pueden tener entre 1 y 512 bytes.
Las contraseñas pueden ser cadenas o valores hexadecimales. Para valores hexadecimales, debe introducir el valor con un prefijo "'0x'" o "'0X'". No se permite una contraseña nula.
ONTAP permite el uso de caracteres especiales, letras no inglesas, números y espacios para las contraseñas de CHAP (secretos). Sin embargo, esto está sujeto a restricciones de host. Si un host específico no permite alguno de estos, no se pueden usar. Por ejemplo, el iniciador de software iSCSI de Microsoft requiere que las contraseñas CHAP de iniciador y destino tengan al menos 12 bytes si no se está utilizando el cifrado IPsec. La longitud máxima de la contraseña es de 16 bytes independientemente de si se usa IPsec. Para ver más restricciones, debería consultar la documentación del iniciador. |