Ve Správci úložiště pro sítě SAN je k dispozici několik úrovní zabezpečení iSCSI. Základní úroveň je založena na protokolu CHAP (Challenge Handshake Authentication Protocol). Protokol CHAP je protokol, který se používá k ověřování rovnocenných členů připojení a je založen na rovnocenných členech, kteří sdílejí tajný klíč (bezpečnostní klíč, který je podobný heslu). Protokol IPsec je protokol, který vynucuje ověřování a šifrování dat na vrstvě paketů protokolu IP, což představuje další úroveň zabezpečení.

Důležité informace

Tato funkce umožňuje provádět vybranou podsadu úkolů, které souvisí s konfigurací a správou rozhraní iSCSI. Tyto a další úkoly lze také provádět pomocí Iniciátoru iSCSI společnosti Microsoft, který je součástí Nástrojů pro správu systému Windows Server 2008. Dodavatelé síťových řešení a řešení pro ukládání dat poskytují podobné nástroje, které mohou provádět úkoly konfigurace a správy rozhraní iSCSI. Další informace o rozhraní iSCSI naleznete na adrese https://go.microsoft.com/fwlink/?LinkId=102299 (stránka může být v angličtině).

Je třeba zvolit úroveň zabezpečení, která nejlépe vyhovuje bezpečnostním zásadám ve vaší organizaci:

  • One-way CHAP authentication: S touto úrovní zabezpečení je pouze iniciátor ověřován cílem. Tajný klíč je nastaven pouze pro cíl a všechny iniciátory, které chtějí získat přístup k příslušnému cíli, musí použít stejný tajný klíč, aby bylo možné zahájit relaci přihlášení s cílem.

  • Mutual CHAP authentication: S touto úrovní zabezpečení se cíl a iniciátor ověřují navzájem. Pro každý cíl a pro každého iniciátora v síti SAN (storage area network) je nastaven samostatný tajný klíč.

  • IPsec: S touto úrovní zabezpečení jsou šifrovány a ověřovány všechny pakety protokolu IP odeslané během přenosů dat. U všech portálů protokolu IP je nastaven společný klíč, který umožňuje všem rovnocenným členům vzájemné ověření a vyjednání šifrování paketů. Další informace naleznete na webu protokolu IPsec (https://go.microsoft.com/fwlink/?linkid=93520) (stránka může být v angličtině).

Upozornění

Minimálně použijte mezi iniciátory iSCSI a cíli jednosměrné ověřování protokolem CHAP.

Poznámka

Úroveň zabezpečení, kterou je možné nastavit pro podsystém úložiště, závisí na výrobci hardwaru. Ne všechny podsystémy podporují všechny úrovně zabezpečení iSCSI. Chcete-li si ověřit úroveň zabezpečení, která je podporována, kontaktujte výrobce hardwaru.

Další informace o rozhraní iSCSI naleznete na adrese https://go.microsoft.com/fwlink/?linkid=93543 (stránka může být v angličtině).

Členství v místní skupině Administrators či ekvivalentních skupinách je minimálním předpokladem pro dokončení tohoto postupu. Na adrese https://go.microsoft.com/fwlink/?LinkId=83477 zkontrolujte podrobnosti o používání příslušných účtů a členství ve skupině.

Správa zabezpečení iSCSI
  1. Ve stromu konzoly klikněte na položku Správa logických jednotek (LUN).

  2. V podokně Akce klikněte na možnost Spravovat zabezpečení iSCSI.

  3. Chcete-li konfigurovat jednosměrné ověřování protokolem CHAP, konfigurujte v dialogovém okně Spravovat zabezpečení iSCSI na kartě Cíle následující nastavení:

    1. Chcete-li konfigurovat různé tajné klíče CHAP pro různé cíle, vyberte v seznamu cíl, pro který chcete nastavit tajný klíč CHAP, a klikněte na možnost Nastavit tajný klíč.

      -nebo-

      Chcete-li použít stejný tajný klíč CHAP pro skupinu cílů, vyberte cíle ze seznamu a klikněte na možnost Nastavit tajný klíč.

    2. V dialogovém okně Nastavit tajný klíč zadejte a potvrďte cílový tajný klíč CHAP.

    3. Chcete-li automaticky předat nový tajný klíč místnímu iniciátoru, vyberte volitelně možnost Zapamatovat tajný klíč na místním iniciátoru.

    4. Chcete-li nastavit nový tajný klíč, klikněte na tlačítko OK.

  4. Chcete-li konfigurovat vzájemné ověřování CHAP, je třeba nejprve konfigurovat jednosměrné ověřování CHAP tak, že budete postupovat podle kroku 3. Potom zadejte na kartě Místní iniciátor následující konfiguraci:

    1. Zadejte a potvrďte tajný klíč CHAP pro místní iniciátor.

    2. V rámci vzájemného ověřování CHAP se bude moci iniciátor přihlásit pouze k cílům, které znají tajný klíč iniciátoru. Chcete-li, aby iniciátor sdílel tajné klíče s cíli, které potřebuje server pro přístup, vyberte v seznamu cílů jednotlivé cíle, které chcete ověřit na iniciátoru.

    3. Chcete-li nastavit nový tajný klíč pro místní iniciátor a sdílet ho s vybranými cíli, klikněte na možnost Použít tajný klíč.

  5. Chcete-li konfigurovat protokol IPsec, konfigurujte v dialogovém okně Spravovat zabezpečení iSCSI na kartě Portály následující nastavení:

    1. Pokud chcete použít různé klíče protokolu IPsec pro různé portály, vyberte v seznamu portál a klikněte na možnost Nastavit klíč protokolu IPSec.

      -nebo-

      Chcete-li použít stejný klíč protokolu IPsec pro skupinu portálů, vyberte portály ze seznamu a klikněte na možnost Nastavit klíč protokolu IPSec.

    2. V dialogovém okně Nastavit klíč protokolu IPSec zadejte a potvrďte nový klíč protokolu IPsec.

    3. Chcete-li automaticky předat nový klíč místnímu iniciátoru, vyberte volitelně možnost Zapamatovat klíč protokolu IPSec na místním iniciátoru.

    4. Chcete-li nastavit nový tajný klíč protokolu IPsec, klikněte na tlačítko OK.

  6. Po dokončení konfigurace zabezpečení iSCSI klikněte na tlačítko Zavřít.