Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configura l'autenticazione in-band su NVMe

Collaboratori

A partire da ONTAP 9.12.1 è possibile utilizzare l'interfaccia a riga di comando (CLI) di ONTAP per configurare l'autenticazione in-band (sicura), bidirezionale e unidirezionale tra un host e un controller NVMe sui protocolli NVME/TCP e NVMe/FC utilizzando l'autenticazione DH-HMAC-CHAP. A partire da ONTAP 9.14.1, l'autenticazione in banda può essere configurata in Gestione sistema.

Per impostare l'autenticazione in banda, ogni host o controller deve essere associato a una chiave DH-HMAC-CHAP che è una combinazione del NQN dell'host o del controller NVMe e di una password di autenticazione configurata dall'amministratore. Perché un host o un controller NVMe possa autenticare il proprio peer, deve conoscere la chiave associata al peer.

Nell'autenticazione unidirezionale, viene configurata una chiave segreta per l'host, ma non per il controller. Nell'autenticazione bidirezionale, viene configurata una chiave segreta sia per l'host che per il controller.

SHA-256 è la funzione hash predefinita e 2048-bit è il gruppo DH predefinito.

System Manager

A partire da ONTAP 9.14.1, puoi utilizzare System Manager per configurare l'autenticazione in-band creando o aggiornando un sottosistema NVMe, creando o clonando namespace NVMe o aggiungendo gruppi di coerenza con nuovi namespace NVMe.

Fasi
  1. In System Manager, fare clic su host > sottosistema NVMe, quindi su Aggiungi.

  2. Aggiungere il nome del sottosistema NVMe e selezionare la VM di storage e il sistema operativo host.

  3. Immettere l'NQN dell'host.

  4. Selezionare Usa autenticazione in banda accanto a NQN host.

  5. Fornire la password dell'host e la password del controller.

    La chiave DH-HMAC-CHAP è una combinazione del NQN dell'host o del controller NVMe e di un segreto di autenticazione configurato dall'amministratore.

  6. Selezionare la funzione hash preferita e il gruppo DH per ciascun host.

    Se non si seleziona una funzione hash e un gruppo DH, SHA-256 viene assegnato come funzione hash predefinita e 2048 bit come gruppo DH predefinito.

  7. In alternativa, fare clic su Aggiungi e ripetere la procedura come necessario per aggiungere altri host.

  8. Fare clic su Save (Salva).

  9. Per verificare che l'autenticazione in banda sia attivata, fare clic su System Manager > Hosts > NVMe Subsystem > Grid > Peek view.

    L'icona di una chiave trasparente accanto al nome host indica che la modalità unidirezionale è attivata. Un tasto opaco accanto al nome host indica che la modalità bidirezionale è attivata.

CLI
Fasi
  1. Aggiungere l'autenticazione DH-HMAC-CHAP al sottosistema NVMe:

    vserver nvme subsystem host add -vserver <svm_name> -subsystem <subsystem> -host-nqn <host_nqn> -dhchap-host-secret <authentication_host_secret> -dhchap-controller-secret <authentication_controller_secret> -dhchap-hash-function <sha-256|sha-512> -dhchap-group <none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit>
  2. Verificare che il protocollo di autenticazione DH-HMAC CHAP sia stato aggiunto all'host:

    vserver nvme subsystem host show
      [ -dhchap-hash-function {sha-256|sha-512} ]  Authentication Hash Function
      [ -dhchap-dh-group {none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit} ]
                                                   Authentication Diffie-Hellman
                                                   Group
      [ -dhchap-mode {none|unidirectional|bidirectional} ]
                                                   Authentication Mode
  3. Verificare che l'autenticazione CHAP DH-HMAC sia stata eseguita durante la creazione del controller NVMe:

    vserver nvme subsystem controller show
     [ -dhchap-hash-function {sha-256|sha-512} ]  Authentication Hash Function
     [ -dhchap-dh-group {none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit} ]
                                                   Authentication Diffie-Hellman
                                                   Group
     [ -dhchap-mode {none|unidirectional|bidirectional} ]
                                                   Authentication Mode