Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

NVMe経由のインバンド認証の設定

共同作成者 netapp-aherbin netapp-aaron-holt netapp-dbagwell netapp-mwallis
PDF

ONTAP 9.12.1以降では、ONTAPコマンドライン インターフェイス(CLI)を使用して、NVMeホストとNVMeコントローラの間にNVMe / TCPおよびNVMe / FCプロトコルを介したDH-HMAC-CHAP認証によるインバンドの(セキュアな)双方向認証および単方向認証を設定できます。ONTAP 9.14.1以降では、インバンド認証をSystem Managerで設定できます。

インバンド認証を設定するには、各ホストまたはコントローラにDH-HMAC-CHAPキーを関連付ける必要があります。DH-HMAC-CHAPキーは、NVMeホストまたはコントローラのNQNと管理者が設定した認証シークレットを組み合わせたものです。NVMeホストまたはコントローラがピアを認証するには、そのピアに関連付けられているキーを認識している必要があります。

単方向認証では、ホストにはシークレット キーを設定しますが、コントローラには設定しません。双方向認証では、ホストとコントローラの両方にシークレット キーを設定します。

デフォルトのハッシュ関数はSHA-256で、デフォルトのDHグループは2048ビットです。

System Manager

ONTAP 9.14.1以降では、NVMeサブシステムの作成または更新、NVMeネームスペースの作成またはクローニング、新しいNVMeネームスペースを使用した整合グループの追加を行うときに、System Managerでインバンド認証を設定できます。

手順

  1. System Manager で、Hosts > NVMe Subsystem をクリックし、Add をクリックします。

  2. NVMeサブシステム名を追加し、Storage VMとホスト オペレーティング システムを選択します。

  3. ホストNQNを入力します。

  4. ホスト NQN の横にある Use in-band authentication を選択します。

  5. ホスト シークレットとコントローラ シークレットを指定します。

    DH-HMAC-CHAPキーは、NVMeホストまたはコントローラのNQNと管理者が設定した認証シークレットを組み合わせたものです。

  6. 各ホストで使用するハッシュ関数とDHグループを選択します。

    ハッシュ関数とDHグループを選択しなかった場合には、それぞれのデフォルト設定(ハッシュ関数はSHA-256、DHグループは2048ビット)が割り当てられます。

  7. オプションで、*追加*をクリックし、必要に応じて手順を繰り返してさらにホストを追加します。

  8. *保存*をクリックします。

  9. インバンド認証が有効になっていることを確認するには、System Manager > Hosts > NVMe Subsystem > Grid > Peek view をクリックします。

    ホスト名の横にあるキー アイコンが透明な場合、単方向モードが有効であることを示しています。ホスト名の横にあるキー アイコンが不透明な場合、双方向モードが有効であることを示しています。

CLI
手順

  1. NVMeサブシステムにDH-HMAC-CHAP認証を追加します。

    vserver nvme subsystem host add -vserver <svm_name> -subsystem <subsystem> -host-nqn <host_nqn> -dhchap-host-secret <authentication_host_secret> -dhchap-controller-secret <authentication_controller_secret> -dhchap-hash-function <sha-256|sha-512> -dhchap-group <none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit>
    `vserver nvme subsystem host add`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/vserver-nvme-subsystem-host-add.html["ONTAPコマンド リファレンス"^]をご覧ください。

  2. DH-HMAC CHAP認証プロトコルがホストに追加されたことを確認します。

    vserver nvme subsystem host show
      [ -dhchap-hash-function {sha-256|sha-512} ]  Authentication Hash Function
  [ -dhchap-dh-group {none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit} ]
                                               Authentication Diffie-Hellman
                                               Group
  [ -dhchap-mode {none|unidirectional|bidirectional} ]
                                               Authentication Mode
    `vserver nvme subsystem host show`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/vserver-nvme-subsystem-host-show.html["ONTAPコマンド リファレンス"^]をご覧ください。

  3. NVMeコントローラの作成時にDH-HMAC CHAP認証が実行されたことを確認します。

    vserver nvme subsystem controller show
     [ -dhchap-hash-function {sha-256|sha-512} ]  Authentication Hash Function
 [ -dhchap-dh-group {none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit} ]
                                               Authentication Diffie-Hellman
                                               Group
 [ -dhchap-mode {none|unidirectional|bidirectional} ]
                                               Authentication Mode
関連情報