Configuration de l'authentification intrabande sur NVMe
Depuis ONTAP 9.12.1, vous pouvez utiliser l'interface de ligne de commande ONTAP pour configurer l'authentification intrabande (sécurisée), bidirectionnelle et unidirectionnelle entre un hôte et un contrôleur NVMe via les protocoles NVME/TCP et NVMe/FC à l'aide de l'authentification DH-HMAC-CHAP. À partir de ONTAP 9.14.1, l'authentification intrabande peut être configurée dans System Manager.
Pour configurer l'authentification intrabande, chaque hôte ou contrôleur doit être associé à une clé DH-HMAC-CHAP qui est une combinaison du NQN de l'hôte ou du contrôleur NVMe et d'un secret d'authentification configuré par l'administrateur. Pour qu'un hôte ou un contrôleur NVMe authentifie son homologue, il doit connaître la clé associée à celui-ci.
Dans l'authentification unidirectionnelle, une clé secrète est configurée pour l'hôte, mais pas pour le contrôleur. Dans le cas d'une authentification bidirectionnelle, une clé secrète est configurée pour l'hôte et le contrôleur.
SHA-256 est la fonction de hachage par défaut et 2048 bits est le groupe DH par défaut.
Depuis ONTAP 9.14.1, vous pouvez utiliser System Manager pour configurer l'authentification intrabande lors de la création ou de la mise à jour d'un sous-système NVMe, de la création ou du clonage d'espaces de noms NVMe, ou de l'ajout de groupes de cohérence avec de nouveaux espaces de noms NVMe.
-
Dans System Manager, cliquez sur hosts > NVMe Subsystem, puis sur Add.
-
Ajoutez le nom du sous-système NVMe, puis sélectionnez la VM de stockage et le système d'exploitation hôte.
-
Saisissez le NQN hôte.
-
Sélectionnez utiliser l'authentification intrabande en regard du NQN hôte.
-
Indiquez le secret de l'hôte et le secret du contrôleur.
La clé DH-HMAC-CHAP est une combinaison du NQN de l'hôte ou du contrôleur NVMe et d'un secret d'authentification configuré par l'administrateur.
-
Sélectionnez la fonction de hachage et le groupe DH de votre choix pour chaque hôte.
Si vous ne sélectionnez pas de fonction de hachage et de groupe DH, SHA-256 est affecté comme fonction de hachage par défaut et 2048 bits comme groupe DH par défaut.
-
Si vous le souhaitez, cliquez sur Ajouter et répétez les étapes nécessaires pour ajouter d'autres hôtes.
-
Cliquez sur Enregistrer.
-
Pour vérifier que l'authentification intrabande est activée, cliquez sur System Manager > hosts > NVMe Subsystem > Grid > Peek View.
Une icône de clé transparente en regard du nom d'hôte indique que le mode unidirectionnel est activé. Une clé opaque en regard du nom d'hôte indique que le mode bidirectionnel est activé.
-
Ajoutez l'authentification DH-HMAC-CHAP à votre sous-système NVMe :
vserver nvme subsystem host add -vserver <svm_name> -subsystem <subsystem> -host-nqn <host_nqn> -dhchap-host-secret <authentication_host_secret> -dhchap-controller-secret <authentication_controller_secret> -dhchap-hash-function <sha-256|sha-512> -dhchap-group <none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit>
-
Vérifiez que le protocole d'authentification CHAP DH-HMAC est ajouté à votre hôte :
vserver nvme subsystem host show
[ -dhchap-hash-function {sha-256|sha-512} ] Authentication Hash Function [ -dhchap-dh-group {none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit} ] Authentication Diffie-Hellman Group [ -dhchap-mode {none|unidirectional|bidirectional} ] Authentication Mode
-
Vérifier que l'authentification DH-HMAC CHAP a été effectuée lors de la création du contrôleur NVMe :
vserver nvme subsystem controller show
[ -dhchap-hash-function {sha-256|sha-512} ] Authentication Hash Function [ -dhchap-dh-group {none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit} ] Authentication Diffie-Hellman Group [ -dhchap-mode {none|unidirectional|bidirectional} ] Authentication Mode