ONTAPの iSCSI イニシエータの CHAP 認証について学習します
変更を提案
PDF
Challenge Handshake Authentication Protocol(CHAP)を使用すると、iSCSIイニシエータとターゲット間の認証された通信が可能CHAP認証を使用する場合は、イニシエータとストレージシステムの両方でCHAPユーザ名とパスワードを定義します。
iSCSIセッションの第1段階では、イニシエータがストレージシステムにログイン要求を送信してセッションを開始します。ログイン要求には、イニシエータのCHAPユーザ名とCHAPアルゴリズムが含まれます。ストレージシステムはCHAPチャレンジで応答します。イニシエータはCHAP応答を提供します。ストレージシステムは応答を検証し、イニシエータを認証します。CHAPパスワードは、応答の計算に使用されます。
認証 |
アウトバウンド |
インバウンド |
マッチ? |
単方向 |
ホストイニシエーターのユーザー名とパスワード |
ストレージのユーザー名とパスワード |
一致する必要があります |
双方向 |
ホストイニシエーターのユーザー名とパスワード |
ストレージのユーザー名とパスワード |
一致する必要があります |
双方向 |
ストレージのユーザー名とパスワード |
ホストイニシエーターのユーザー名とパスワード |
一致する必要があります |
ホスト イニシエーターのアウトバウンド ユーザー名とパスワードは、ストレージ システムのアウトバウンド ユーザー名とパスワードとは異なる必要があります。
CHAP認証の使用に関するガイドライン
CHAP 認証を使用する場合は、次のガイドラインに従ってください。
-
インバウンドユーザ名とパスワードをストレージシステムで定義する場合は、イニシエータのアウトバウンドCHAP設定にも同じユーザ名とパスワードを使用する必要があります。ストレージシステムでアウトバウンドユーザ名とパスワードも定義して双方向認証を有効にする場合は、イニシエータのインバウンドCHAP設定にも同じユーザ名とパスワードを使用する必要があります。
-
ストレージシステムのインバウンド設定とアウトバウンド設定には、同じユーザ名とパスワードを使用できません。
-
CHAPユーザ名には1~128バイトを指定できます。
システムでは null ユーザー名は許可されません。
-
CHAPパスワード(secrets)には1~512バイトを指定できます。
パスワードには16進値または文字列を使用できます。16 進数値の場合は、プレフィックス「
0x」または「0X」を付けて値を入力する必要があります。システムでは null パスワードは許可されません。
|
ONTAPでは'CHAPパスワード(シークレット)に特殊文字'英語以外の文字'数字'およびスペースを使用できますただし、これはホストの制限の対象となります。これらのいずれかが特定のホストで許可されていない場合、それらを使用することはできません。 たとえば、Microsoft iSCSIソフトウェアイニシエータでは、IPsec暗号化を使用しない場合、イニシエータとターゲットの両方のCHAPパスワードを12バイト以上にする必要があります。パスワードの最大長は、IPsecが使用されているかどうかに関係なく16バイトです。 追加の制限については、イニシエーターのドキュメントを参照してください。 |