Skip to main content
Element Software
本产品推出了新版本。
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用CHAP处理帐户

贡献者

在SolidFire 存储系统中、租户可以使用帐户使客户端能够连接到集群上的卷。帐户包含访问分配给它的卷所需的质询握手身份验证协议(Challenge-Handshake Authentication Protocol、CHAP)身份验证。创建卷时、卷会分配给特定帐户。

一个帐户最多可以分配 2 , 000 个卷,但一个卷只能属于一个帐户。

CHAP算法

从Element 12.7开始、支持符合FIPS的安全CHAP算法SHA1、SHA-256和SHA3-256。对于Element 12.7、当主机iSCSI启动程序创建与Element iSCSI目标的iSCSI会话时、它会请求一个要使用的CHAP算法列表。Element iSCSI目标会从主机iSCSI启动程序请求的列表中选择它支持的第一个算法。要确认Element iSCSI目标选择的是最安全的算法、您必须将主机iSCSI启动程序配置为发送从最安全位置(例如SHA3-256)到最不安全位置(例如 SHA1或MD5。如果主机iSCSI启动程序未请求SHA算法、则Element iSCSI目标会选择MD5、前提是主机中的建议算法列表包含MD5。您可能需要更新主机iSCSI启动程序配置、以支持安全算法。

在Element 12.7升级期间、如果您已更新主机iSCSI启动程序配置、以便在存储节点重新启动时发送包含SHA算法列表的会话请求、 此时将激活新的安全算法、并使用最安全的协议建立新的或重新连接的iSCSI会话。在升级期间、所有现有iSCSI会话都会从MD5过渡到SHA。如果不更新主机iSCSI启动程序配置以请求SHA、则现有iSCSI会话将继续使用MD5。稍后、在更新主机iSCSI启动程序CHAP算法后、iSCSI会话应根据导致iSCSI会话重新连接的维护活动逐渐从MD5过渡到SHA。

例如、Red Hat Enterprise Linux (RHEL) 8.3中的默认主机iSCSI启动程序的设置已 `node.session.auth.chap_algs = SHA3-256,SHA256,SHA1,MD5`注释掉、从而导致iSCSI启动程序仅使用MD5。在主机上取消此设置的注释并重新启动iSCSI启动程序会触发来自该主机的iSCSI会话、以便开始使用SHA3-256。

如果需要、您可以使用 "ListISCSISessions"API方法查看每个会话所使用的CHAP算法。

创建帐户

您可以创建帐户以允许访问卷。

系统中的每个帐户名称都必须是唯一的。

  1. 选择 * 管理 * > * 帐户 * 。

  2. 单击 * 创建帐户 * 。

  3. 输入 * 用户名 * 。

  4. 在 * CHAP Settings* 部分中,输入以下信息:

    备注 将凭据字段留空可自动生成任一密码。
    • 用于 CHAP 节点会话身份验证的 * 启动程序机密 * 。

    • 用于 CHAP 节点会话身份验证的 * 目标机密 * 。

  5. 单击 * 创建帐户 * 。

查看帐户详细信息

您可以通过图形格式查看各个帐户的性能活动。

图形信息提供帐户的 I/O 和吞吐量信息。平均和峰值活动级别以 10 秒报告周期为增量进行显示。这些统计信息包括分配给帐户的所有卷的活动。

  1. 选择 * 管理 * > * 帐户 * 。

  2. 单击帐户对应的 "Actions" 图标。

  3. 单击 * 查看详细信息 * 。

下面是一些详细信息:

  • * 状态 * :帐户的状态。可能值:

    • Active :处于活动状态的帐户。

    • locked :已锁定的帐户。

    • removed :已删除并清除的帐户。

  • * 活动卷 * :分配给帐户的活动卷数。

  • * 压缩 * :分配给帐户的卷的压缩效率得分。

  • * 重复数据删除 * :分配给帐户的卷的重复数据删除效率得分。

  • * 精简配置 * :分配给帐户的卷的精简配置效率得分。

  • * 整体效率 * :分配给帐户的卷的整体效率得分。

编辑帐户

您可以编辑帐户以更改状态,更改 CHAP 密码或修改帐户名称。

修改帐户中的 CHAP 设置或从访问组中删除启动程序或卷可能会使发生原因启动程序意外丢失对卷的访问权限。要验证卷访问不会意外丢失,请始终注销将受帐户或访问组更改影响的 iSCSI 会话,并验证启动程序是否可以在完成启动程序设置和集群设置的任何更改后重新连接到卷。

重要说明 与管理服务关联的永久性卷将分配给在安装或升级期间创建的新帐户。如果您使用的是永久性卷,请勿修改或删除其关联帐户。
  1. 选择 * 管理 * > * 帐户 * 。

  2. 单击帐户对应的 "Actions" 图标。

  3. 在显示的菜单中,选择 * 编辑 * 。

  4. * 可选: * 编辑 * 用户名 * 。

  5. * 可选: * 单击 * 状态 * 下拉列表并选择其他状态。

    重要说明 将状态更改为 * 已锁定 * 将终止与帐户的所有 iSCSI 连接,并且无法再访问此帐户。与帐户关联的卷会保留下来,但这些卷不能通过 iSCSI 发现。
  6. * 可选: * 在 * CHAP Settings* 下,编辑用于节点会话身份验证的 * 启动程序机密 * 和 * 目标机密 * 凭据。

    备注 如果不更改 * CHAP Settings* 凭据,它们将保持不变。如果将凭据字段留空,系统将生成新密码。
  7. 单击 * 保存更改 * 。

删除帐户

您可以删除不再需要的帐户。

删除帐户之前,请删除并清除与帐户关联的所有卷。

重要说明 与管理服务关联的永久性卷将分配给在安装或升级期间创建的新帐户。如果您使用的是永久性卷,请勿修改或删除其关联帐户。
  1. 选择 * 管理 * > * 帐户 * 。

  2. 单击要删除的帐户对应的 "Actions" 图标。

  3. 在显示的菜单中,选择 * 删除 * 。

  4. 确认操作。