设置基于NVMe的带内身份验证
建议更改
PDF
从ONTAP 9.12.1开始、您可以使用ONTAP命令行界面(CLI)通过DH-HMAC-CHAP身份验证、通过NVMe/TCP和NVMe/FC协议在NVMe主机和控制器之间配置带内(安全)双向和单向身份验证。从ONTAP 9.14.1开始、可以在System Manager中配置带内身份验证。
要设置带内身份验证、每个主机或控制器都必须与DH-HMAC-CHAP密钥关联、该密钥是NVMe主机或控制器的NQN与管理员配置的身份验证密钥的组合。要使NVMe主机或控制器对其对等方进行身份验证、它必须知道与对等方关联的密钥。
在单向身份验证中、系统会为主机配置一个机密密钥、但不会为控制器配置此密钥。在双向身份验证中、系统会为主机和控制器配置一个机密密钥。
SHA-256是默认哈希函数、2048位是默认DH组。
从ONTAP 9.14.1开始、您可以在创建或更新NVMe子系统、创建或克隆NVMe命名区或使用新NVMe命名区添加一致性组时使用System Manager配置带内身份验证。
-
在System Manager中、单击*主机> NVMe子系统*、然后单击*添加*。
-
添加NVMe子系统名称、然后选择Storage VM和主机操作系统。
-
输入主机NQN。
-
选择主机NQN旁边的*使用带内身份验证*。
-
提供主机密钥和控制器密钥。
DH-HMAC-CHAP密钥是NVMe主机或控制器的NQN与管理员配置的身份验证密钥的组合。
-
为每个主机选择首选哈希函数和DH组。
如果未选择哈希函数和DH组、则会将SHA-256分配为默认哈希函数、并将2048位分配为默认DH组。
-
(可选)单击*Add*并根据需要重复步骤以添加更多主机。
-
单击 * 保存 * 。
-
要验证是否已启用带内身份验证、请单击*系统管理器>主机> NVMe子系统>网格> Peek View*。
主机名旁边的透明密钥图标表示已启用单向模式。主机名旁边的不透明密钥表示已启用双向模式。
-
将DH-HMAC-CHAP身份验证添加到NVMe子系统:
vserver nvme subsystem host add -vserver <svm_name> -subsystem <subsystem> -host-nqn <host_nqn> -dhchap-host-secret <authentication_host_secret> -dhchap-controller-secret <authentication_controller_secret> -dhchap-hash-function <sha-256|sha-512> -dhchap-group <none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit> -
验证是否已将DH-HMAC CHAP身份验证协议添加到主机:
vserver nvme subsystem host show[ -dhchap-hash-function {sha-256|sha-512} ] Authentication Hash Function [ -dhchap-dh-group {none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit} ] Authentication Diffie-Hellman Group [ -dhchap-mode {none|unidirectional|bidirectional} ] Authentication Mode -
验证是否在创建NVMe控制器期间执行了DH-HMAC CHAP身份验证:
vserver nvme subsystem controller show[ -dhchap-hash-function {sha-256|sha-512} ] Authentication Hash Function [ -dhchap-dh-group {none|2048-bit|3072-bit|4096-bit|6144-bit|8192-bit} ] Authentication Diffie-Hellman Group [ -dhchap-mode {none|unidirectional|bidirectional} ] Authentication Mode