日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

CHAP 認証とは

寄稿者

Challenge Handshake Authentication Protocol ( CHAP )により、 iSCSI イニシエータとターゲットの間で認証に基づいたやり取りが可能になります。CHAP 認証を使用する場合は、イニシエータとストレージシステムの両方で、 CHAP ユーザ名およびパスワードを定義します。

iSCSI セッションの第 1 段階では、イニシエータがストレージシステムにログイン要求を送信して、セッションを開始します。ログイン要求には、イニシエータの CHAP ユーザ名および CHAP アルゴリズムが含まれています。ストレージシステムは CHAP チャレンジで応答します。イニシエータは CHAP 応答を返します。ストレージシステムは応答を検証し、イニシエータを認証します。CHAP パスワードは、応答の計算に使用されます。

CHAP 認証を使用する場合のガイドライン

CHAP 認証を使用する場合は、一定のガイドラインに従う必要があります。

  • インバウンドユーザ名およびパスワードをストレージシステムで定義している場合は、イニシエータのアウトバウンド CHAP 設定にも同じユーザ名およびパスワードを使用する必要があります。ストレージシステムでアウトバウンドユーザ名およびパスワードも定義して、双方向認証を可能にしている場合は、イニシエータのインバウンド CHAP 設定にも同じユーザ名およびパスワードを使用する必要があります。

  • ストレージシステムのインバウンド設定とアウトバウンド設定には、同じユーザ名およびパスワードを使用できません。

  • CHAP ユーザ名には 1~128 バイトを使用できます。

    ユーザ名を null にすることはできません。

  • CHAP パスワード( secrets )には 1~512 バイトを使用できます。

    パスワードには、 16 進数値または文字列を使用できます。16 進数値を使用する場合は、プレフィックス「 0x 」または「 0X 」を付けた値を入力する必要があります。パスワードを null にすることはできません。

  • その他の制限事項については、イニシエータのマニュアルを参照してください。

    たとえば、 Microsoft iSCSI ソフトウェアイニシエータでは、 IPSec 暗号化を使用しない場合、イニシエータとターゲットの両方の CHAP パスワードを 12 バイト以上に設定する必要があります。パスワードの最大長は、 IPSec を使用するかどうかに関係なく 16 バイトです。