了解ONTAP中 iSCSI 啟動器的 CHAP 驗證
建議變更
PDF
Challenge Handshake驗證傳輸協定(CHAP)可在iSCSI啟動器與目標之間進行驗證通訊。使用CHAP驗證時、您可以在啟動器和儲存系統上定義CHAP使用者名稱和密碼。
在iSCSI工作階段的初始階段、啟動器會傳送登入要求至儲存系統以開始工作階段。登入要求包括啟動器的CHAP使用者名稱和CHAP演算法。儲存系統會回應CHAP挑戰。啟動器會提供CHAP回應。儲存系統會驗證回應並驗證啟動器。CHAP密碼用於計算回應。
驗證 |
傳出 |
傳入 |
匹配? |
單向 |
主機啟動器使用者名稱和密碼 |
儲存使用者名稱和密碼 |
必須匹配 |
雙向 |
主機啟動器使用者名稱和密碼 |
儲存使用者名稱和密碼 |
必須匹配 |
雙向 |
儲存使用者名稱和密碼 |
主機啟動器使用者名稱和密碼 |
必須匹配 |
主機啟動器的出站使用者名稱和密碼必須與儲存系統的出站使用者名稱和密碼不同。
使用CHAP驗證的準則
使用 CHAP 驗證時請遵循以下準則。
-
如果您在儲存系統上定義傳入使用者名稱和密碼、則必須在啟動器上使用相同的使用者名稱和密碼進行傳出CHAP設定。如果您也在儲存系統上定義傳出使用者名稱和密碼以啟用雙向驗證、則必須在啟動器上使用相同的使用者名稱和密碼來進行傳入CHAP設定。
-
儲存系統上的傳入和傳出設定不能使用相同的使用者名稱和密碼。
-
CHAP使用者名稱可以是1到128位元組。
系統不允許使用者名為空。
-
CHAP密碼(機密)可為1至512位元組。
密碼可以是十六進制值或字串。對於十六進位值,您應該輸入帶有“
0x”或“0X”前綴的值。系統不允許使用空密碼。
|
支援使用特殊字元、非英文字母、數字和空格來輸入CHAP密碼(機密)ONTAP 。 不過、這會受到主機限制。 如果您的特定主機不允許使用其中任何一項、就無法使用。 例如、如果未使用IPsec加密、Microsoft iSCSI軟體啟動器會要求啟動器和目標CHAP密碼至少為12個位元組。無論是否使用IPsec、密碼長度上限為16位元組。 有關其他限制,請參閱啟動器的文件。 |