En savoir plus sur l'authentification CHAP pour les initiateurs iSCSI dans ONTAP
Suggérer des modifications
PDF
Le protocole CHAP (Challenge Handshake Authentication Protocol) permet une communication authentifiée entre les initiateurs et les cibles iSCSI. Lorsque vous utilisez l'authentification CHAP, vous définissez des noms d'utilisateur et des mots de passe CHAP sur l'initiateur et le système de stockage.
Au cours de la phase initiale d'une session iSCSI, l'initiateur envoie une demande de connexion au système de stockage pour démarrer la session. La demande de connexion inclut le nom d'utilisateur CHAP de l'initiateur et l'algorithme CHAP. Le système de stockage répond par un défi CHAP. L'initiateur fournit une réponse CHAP. Le système de stockage vérifie la réponse et authentifie l'initiateur. Le mot de passe CHAP est utilisé pour calculer la réponse.
Authentification |
Appel sortant |
Entrant |
Correspondre? |
Unidirectionnel |
Nom d'utilisateur et mot de passe de l'initiateur de l'hôte |
Nom d'utilisateur et mot de passe de stockage |
Doit correspondre |
Bidirectionnel |
Nom d'utilisateur et mot de passe de l'initiateur de l'hôte |
Nom d'utilisateur et mot de passe de stockage |
Doit correspondre |
Bidirectionnel |
Nom d'utilisateur et mot de passe de stockage |
Nom d'utilisateur et mot de passe de l'initiateur de l'hôte |
Doit correspondre |
Le nom d'utilisateur et le mot de passe sortants de l'initiateur hôte doivent être différents du nom d'utilisateur et du mot de passe sortants du système de stockage.
Consignes d'utilisation de l'authentification CHAP
Suivez ces directives lorsque vous utilisez l’authentification CHAP.
-
Si vous définissez un nom d'utilisateur et un mot de passe entrants sur le système de stockage, vous devez utiliser le même nom d'utilisateur et le même mot de passe pour les paramètres CHAP sortants sur l'initiateur. Si vous définissez également un nom d'utilisateur et un mot de passe sortants sur le système de stockage pour activer l'authentification bidirectionnelle, vous devez utiliser le même nom d'utilisateur et le même mot de passe pour les paramètres CHAP entrants sur l'initiateur.
-
Vous ne pouvez pas utiliser les mêmes nom d'utilisateur et mot de passe pour les paramètres entrant et sortant sur le système de stockage.
-
Les noms d'utilisateur CHAP peuvent comporter entre 1 et 128 octets.
Le système n'autorise pas les noms d'utilisateur nuls.
-
Les mots de passe CHAP (secrets) peuvent être de 1 à 512 octets.
Les mots de passe peuvent être des valeurs hexadécimales ou des chaînes. Pour les valeurs hexadécimales, vous devez saisir la valeur avec un préfixe de « 0x » ou « 0X ».
Le système n'autorise pas un mot de passe nul.
|
ONTAP permet d'utiliser des caractères spéciaux, des lettres non anglaises, des chiffres et des espaces pour les mots de passe CHAP (secrets). Toutefois, cette condition est soumise à des restrictions sur les hôtes. Si l'un de ces éléments n'est pas autorisé par votre hôte spécifique, ils ne peuvent pas être utilisés. Par exemple, l'initiateur logiciel Microsoft iSCSI nécessite que les mots de passe CHAP d'initiateur et de cible soient d'au moins 12 octets si le cryptage IPSec n'est pas utilisé. La longueur maximale du mot de passe est de 16 octets, qu'IPSec soit utilisé ou non. Consultez la documentation de l'initiateur pour connaître les restrictions supplémentaires. |