CHAP認証とは
変更を提案
PDF
Challenge Handshake Authentication Protocol(CHAP)を使用すると、iSCSIイニシエータとターゲット間の認証された通信が可能CHAP認証を使用する場合は、イニシエータとストレージシステムの両方でCHAPユーザ名とパスワードを定義します。
iSCSIセッションの第1段階では、イニシエータがストレージシステムにログイン要求を送信してセッションを開始します。ログイン要求には、イニシエータのCHAPユーザ名とCHAPアルゴリズムが含まれます。ストレージシステムはCHAPチャレンジで応答します。イニシエータはCHAP応答を提供します。ストレージシステムは応答を検証し、イニシエータを認証します。CHAPパスワードは、応答の計算に使用されます。
CHAP認証の使用に関するガイドライン
CHAP認証を使用する場合は、一定のガイドラインに従う必要があります。
-
インバウンドユーザ名とパスワードをストレージシステムで定義する場合は、イニシエータのアウトバウンドCHAP設定にも同じユーザ名とパスワードを使用する必要があります。ストレージシステムでアウトバウンドユーザ名とパスワードも定義して双方向認証を有効にする場合は、イニシエータのインバウンドCHAP設定にも同じユーザ名とパスワードを使用する必要があります。
-
ストレージシステムのインバウンド設定とアウトバウンド設定には、同じユーザ名とパスワードを使用できません。
-
CHAPユーザ名には1~128バイトを指定できます。
ユーザ名をnullにすることはできません。
-
CHAPパスワード(secrets)には1~512バイトを指定できます。
パスワードには、16進数の値または文字列を使用できます。16 進数値を使用する場合は、プレフィックス「 0x 」または「 0X 」を付けた値を入力する必要があります。パスワードをnullにすることはできません。
|
ONTAPでは'CHAPパスワード(シークレット)に特殊文字'英語以外の文字'数字'およびスペースを使用できますただし、これはホストの制限の対象となります。これらのいずれかが特定のホストで許可されていない場合、それらを使用することはできません。 たとえば、Microsoft iSCSIソフトウェアイニシエータでは、IPsec暗号化を使用しない場合、イニシエータとターゲットの両方のCHAPパスワードを12バイト以上にする必要があります。パスワードの最大長は、IPsecが使用されているかどうかに関係なく16バイトです。 その他の制限事項については、イニシエータのマニュアルを参照してください。 |