Skip to main content
Element Software
È disponibile una versione più recente di questo prodotto.
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Lavorare con gli account utilizzando CHAP

Collaboratori netapp-pcarriga
PDF

Nei sistemi di archiviazione SolidFire , i tenant possono utilizzare gli account per consentire ai client di connettersi ai volumi su un cluster. Un account contiene l'autenticazione CHAP (Challenge-Handshake Authentication Protocol) necessaria per accedere ai volumi a esso assegnati. Quando si crea un volume, questo viene assegnato a un account specifico.

A un account possono essere assegnati fino a duemila volumi, ma un volume può appartenere a un solo account.

Algoritmi CHAP

A partire da Element 12.7, sono supportati gli algoritmi CHAP sicuri conformi a FIPS SHA1, SHA-256 e SHA3-256. Quando un iniziatore iSCSI host crea una sessione iSCSI con un target iSCSI Element, richiede un elenco di algoritmi CHAP da utilizzare. La destinazione Element iSCSI sceglie il primo algoritmo supportato dall'elenco richiesto dall'iniziatore iSCSI host. Per confermare che la destinazione Element iSCSI scelga l'algoritmo più sicuro, è necessario configurare l'iniziatore iSCSI host per inviare un elenco di algoritmi ordinati dal più sicuro, ad esempio SHA3-256, al meno sicuro, ad esempio SHA1 o MD5. Quando gli algoritmi SHA non vengono richiesti dall'iniziatore iSCSI host, la destinazione iSCSI Element sceglie MD5, presupponendo che l'elenco degli algoritmi proposti dall'host contenga MD5. Potrebbe essere necessario aggiornare la configurazione dell'iniziatore iSCSI dell'host per abilitare il supporto per gli algoritmi sicuri.

Durante un aggiornamento a Element 12.7 o versione successiva, se è già stata aggiornata la configurazione dell'iniziatore iSCSI host per inviare una richiesta di sessione con un elenco che include algoritmi SHA, quando i nodi di archiviazione si riavviano, i nuovi algoritmi sicuri vengono attivati e vengono stabilite sessioni iSCSI nuove o riconnesse utilizzando il protocollo più sicuro. Durante l'aggiornamento, tutte le sessioni iSCSI esistenti passano da MD5 a SHA. Se non si aggiorna la configurazione dell'iniziatore iSCSI host per richiedere SHA, le sessioni iSCSI esistenti continueranno a utilizzare MD5. In un secondo momento, dopo aver aggiornato gli algoritmi CHAP dell'iniziatore iSCSI host, le sessioni iSCSI dovrebbero passare gradualmente da MD5 a SHA nel tempo, in base alle attività di manutenzione che determinano la riconnessione delle sessioni iSCSI.

Ad esempio, l'iniziatore iSCSI host predefinito in Red Hat Enterprise Linux (RHEL) 8.3 ha node.session.auth.chap_algs = SHA3-256,SHA256,SHA1,MD5 impostazione commentata, il che fa sì che l'iniziatore iSCSI utilizzi solo MD5. Rimuovendo il commento da questa impostazione sull'host e riavviando l'iniziatore iSCSI, le sessioni iSCSI da quell'host inizieranno a utilizzare SHA3-256.

Se necessario, è possibile utilizzare il "ElencoISCSISessioni" Metodo API per visualizzare gli algoritmi CHAP utilizzati per ogni sessione.

Creare un account

È possibile creare un account per consentire l'accesso ai volumi.

Ogni nome di account nel sistema deve essere univoco.

  1. Selezionare Gestione > Account.

  2. Fare clic su Crea account.

  3. Inserisci un Nome utente.

  4. Nella sezione Impostazioni CHAP, immettere le seguenti informazioni:

    Nota Lasciare vuoti i campi delle credenziali per generare automaticamente una delle due password.

    • Segreto dell'iniziatore per l'autenticazione della sessione del nodo CHAP.

    • Segreto di destinazione per l'autenticazione della sessione del nodo CHAP.

  5. Fare clic su Crea account.

Visualizza i dettagli dell'account

È possibile visualizzare l'attività di performance per singoli account in formato grafico.

Le informazioni del grafico forniscono informazioni su I/O e produttività per l'account. I livelli di attività media e massima vengono mostrati in incrementi di periodi di segnalazione di 10 secondi. Queste statistiche includono l'attività per tutti i volumi assegnati all'account.

  1. Selezionare Gestione > Account.

  2. Fare clic sull'icona Azioni per un account.

  3. Fare clic su Visualizza dettagli.

Ecco alcuni dettagli:

  • Stato: Lo stato dell'account. Valori possibili:

    • attivo: un account attivo.

    • bloccato: Un account bloccato.

    • rimosso: un account che è stato eliminato e ripulito.

  • Volumi attivi: numero di volumi attivi assegnati all'account.

  • Compressione: punteggio di efficienza della compressione per i volumi assegnati all'account.

  • Deduplicazione: punteggio di efficienza della deduplicazione per i volumi assegnati all'account.

  • Thin Provisioning: punteggio di efficienza del thin provisioning per i volumi assegnati all'account.

  • Efficienza complessiva: punteggio di efficienza complessiva per i volumi assegnati all'account.

Modifica un account

È possibile modificare un account per cambiarne lo stato, cambiare i segreti CHAP o modificare il nome dell'account.

La modifica delle impostazioni CHAP in un account o la rimozione di iniziatori o volumi da un gruppo di accesso può causare la perdita imprevista dell'accesso degli iniziatori ai volumi. Per verificare che l'accesso al volume non venga perso inaspettatamente, disconnettere sempre le sessioni iSCSI che saranno interessate da una modifica dell'account o del gruppo di accesso e verificare che gli iniziatori possano riconnettersi ai volumi dopo aver completato eventuali modifiche alle impostazioni dell'iniziatore e del cluster.

Importante I volumi persistenti associati ai servizi di gestione vengono assegnati a un nuovo account creato durante l'installazione o l'aggiornamento. Se si utilizzano volumi persistenti, non modificare o eliminare l'account associato.

  1. Selezionare Gestione > Account.

  2. Fare clic sull'icona Azioni per un account.

  3. Nel menu che si apre, seleziona Modifica.

  4. Facoltativo: modifica il Nome utente.

  5. Facoltativo: fare clic sull'elenco a discesa Stato e selezionare uno stato diverso.

    Importante Modificando lo stato in bloccato, tutte le connessioni iSCSI all'account vengono interrotte e l'account non è più accessibile. I volumi associati all'account vengono mantenuti; tuttavia, i volumi non sono rilevabili tramite iSCSI.

  6. Facoltativo: in Impostazioni CHAP, modifica le credenziali Segreto iniziatore e Segreto destinazione utilizzate per l'autenticazione della sessione del nodo.

    Nota Se non modifichi le credenziali Impostazioni CHAP, queste rimarranno invariate. Se si lasciano vuoti i campi delle credenziali, il sistema genera nuove password.

  7. Fare clic su Salva modifiche.

Elimina un account

Puoi eliminare un account quando non ti serve più.

Eliminare e ripulire tutti i volumi associati all'account prima di eliminarlo.

Importante I volumi persistenti associati ai servizi di gestione vengono assegnati a un nuovo account creato durante l'installazione o l'aggiornamento. Se si utilizzano volumi persistenti, non modificare o eliminare l'account associato.

  1. Selezionare Gestione > Account.

  2. Fare clic sull'icona Azioni relativa all'account che si desidera eliminare.

  3. Nel menu che appare, seleziona Elimina.

  4. Conferma l'azione.

Trova maggiori informazioni