ONTAPのiSCSIイニシエータのCHAP認証について説明します
変更を提案
PDF
Challenge Handshake Authentication Protocol(CHAP)は、iSCSIイニシエータとターゲットの間で認証に基づいた通信を可能にします。CHAP認証を使用する場合、イニシエータとストレージ システムの両方でCHAPユーザ名とパスワードを定義します。
iSCSIセッションの第一段階では、イニシエータがストレージ システムにログイン要求を送信してセッションを開始します。ログイン要求には、イニシエータのCHAPユーザ名とCHAPアルゴリズムが含まれています。これに対し、ストレージ システムはCHAPチャレンジで応答します。CHAP応答はイニシエータが提供します。ストレージ システムはCHAP応答を検証し、イニシエータを認証します。CHAPパスワードは応答の計算に使用されます。
認証 |
アウトバウンド |
インバウンド |
一致? |
一方向 |
ホストイニシエーターのユーザー名とパスワード |
ストレージのユーザー名とパスワード |
一致する必要があります |
双方向 |
ホストイニシエーターのユーザー名とパスワード |
ストレージのユーザー名とパスワード |
一致する必要があります |
双方向 |
ストレージのユーザー名とパスワード |
ホストイニシエーターのユーザー名とパスワード |
一致する必要があります |
ホスト イニシエーターのアウトバウンド ユーザー名とパスワードは、ストレージ システムのアウトバウンド ユーザー名とパスワードとは異なる必要があります。
CHAP認証を使用する場合のガイドライン
CHAP 認証を使用する場合は、次のガイドラインに従ってください。
-
インバウンド ユーザ名とパスワードをストレージ システムで定義している場合は、イニシエータのアウトバウンドCHAP設定にも同じユーザ名とパスワードを使用する必要があります。ストレージ システムでアウトバウンド ユーザ名とパスワードも定義して双方向認証を可能にしている場合は、イニシエータのインバウンドCHAP設定にも同じユーザ名とパスワードを使用する必要があります。
-
ストレージ システムのインバウンド設定とアウトバウンド設定には、同じユーザ名とパスワードを使用できません。
-
CHAPユーザ名は1~128バイトで指定できます。
システムでは null ユーザー名は許可されません。
-
CHAPパスワード(シークレット)は1~512バイトで指定できます。
パスワードは16進数値または文字列で入力できます。16進数値の場合は、先頭に「
0x」または「0X」を付けて入力してください。システムでは null パスワードは許可されません。
|
ONTAPでは、CHAPパスワード(シークレット)に特殊文字、英語以外の文字、数字、スペースを使用できます。ただし、ホストでの制限の対象にはなります。これらの文字が許可されていないホストでは、使用することはできません。 たとえばMicrosoft iSCSIソフトウェア イニシエータでは、IPsec暗号化を使用しない場合に、イニシエータとターゲットの両方のCHAPパスワードを12バイト以上にする必要があります。パスワードの最大長は、IPsecを使用するかどうかにかかわらず16バイトです。 追加の制限については、イニシエータのドキュメントを参照してください。 |