Ve Správci úložiště pro sítě SAN je k dispozici několik úrovní zabezpečení iSCSI. Základní úroveň je založena na protokolu CHAP (Challenge Handshake Authentication Protocol). Protokol CHAP je protokol, který se používá k ověřování rovnocenných členů připojení a je založen na rovnocenných členech, kteří sdílejí tajný klíč (bezpečnostní klíč, který je podobný heslu). Protokol IPsec je protokol, který vynucuje ověřování a šifrování dat na vrstvě paketů protokolu IP, což představuje další úroveň zabezpečení.
Důležité informace | |
Tato funkce umožňuje provádět vybranou podsadu úkolů, které souvisí s konfigurací a správou rozhraní iSCSI. Tyto a další úkoly lze také provádět pomocí Iniciátoru iSCSI společnosti Microsoft, který je součástí Nástrojů pro správu systému Windows Server 2008. Dodavatelé síťových řešení a řešení pro ukládání dat poskytují podobné nástroje, které mohou provádět úkoly konfigurace a správy rozhraní iSCSI. Další informace o rozhraní iSCSI naleznete na adrese |
Je třeba zvolit úroveň zabezpečení, která nejlépe vyhovuje bezpečnostním zásadám ve vaší organizaci:
-
One-way CHAP authentication: S touto úrovní zabezpečení je pouze iniciátor ověřován cílem. Tajný klíč je nastaven pouze pro cíl a všechny iniciátory, které chtějí získat přístup k příslušnému cíli, musí použít stejný tajný klíč, aby bylo možné zahájit relaci přihlášení s cílem.
-
Mutual CHAP authentication: S touto úrovní zabezpečení se cíl a iniciátor ověřují navzájem. Pro každý cíl a pro každého iniciátora v síti SAN (storage area network) je nastaven samostatný tajný klíč.
-
IPsec: S touto úrovní zabezpečení jsou šifrovány a ověřovány všechny pakety protokolu IP odeslané během přenosů dat. U všech portálů protokolu IP je nastaven společný klíč, který umožňuje všem rovnocenným členům vzájemné ověření a vyjednání šifrování paketů. Další informace naleznete na webu protokolu IPsec (
https://go.microsoft.com/fwlink/?linkid=93520 ) (stránka může být v angličtině).
Upozornění | |
Minimálně použijte mezi iniciátory iSCSI a cíli jednosměrné ověřování protokolem CHAP. |
Poznámka | |
Úroveň zabezpečení, kterou je možné nastavit pro podsystém úložiště, závisí na výrobci hardwaru. Ne všechny podsystémy podporují všechny úrovně zabezpečení iSCSI. Chcete-li si ověřit úroveň zabezpečení, která je podporována, kontaktujte výrobce hardwaru. |
Další informace o rozhraní iSCSI naleznete na adrese
Členství v místní skupině Administrators či ekvivalentních skupinách je minimálním předpokladem pro dokončení tohoto postupu. Na adrese
Správa zabezpečení iSCSI |
Ve stromu konzoly klikněte na položku Správa logických jednotek (LUN).
V podokně Akce klikněte na možnost Spravovat zabezpečení iSCSI.
Chcete-li konfigurovat jednosměrné ověřování protokolem CHAP, konfigurujte v dialogovém okně Spravovat zabezpečení iSCSI na kartě Cíle následující nastavení:
-
Chcete-li konfigurovat různé tajné klíče CHAP pro různé cíle, vyberte v seznamu cíl, pro který chcete nastavit tajný klíč CHAP, a klikněte na možnost Nastavit tajný klíč.
-nebo-
Chcete-li použít stejný tajný klíč CHAP pro skupinu cílů, vyberte cíle ze seznamu a klikněte na možnost Nastavit tajný klíč.
-
V dialogovém okně Nastavit tajný klíč zadejte a potvrďte cílový tajný klíč CHAP.
-
Chcete-li automaticky předat nový tajný klíč místnímu iniciátoru, vyberte volitelně možnost Zapamatovat tajný klíč na místním iniciátoru.
-
Chcete-li nastavit nový tajný klíč, klikněte na tlačítko OK.
-
Chcete-li konfigurovat různé tajné klíče CHAP pro různé cíle, vyberte v seznamu cíl, pro který chcete nastavit tajný klíč CHAP, a klikněte na možnost Nastavit tajný klíč.
Chcete-li konfigurovat vzájemné ověřování CHAP, je třeba nejprve konfigurovat jednosměrné ověřování CHAP tak, že budete postupovat podle kroku 3. Potom zadejte na kartě Místní iniciátor následující konfiguraci:
-
Zadejte a potvrďte tajný klíč CHAP pro místní iniciátor.
-
V rámci vzájemného ověřování CHAP se bude moci iniciátor přihlásit pouze k cílům, které znají tajný klíč iniciátoru. Chcete-li, aby iniciátor sdílel tajné klíče s cíli, které potřebuje server pro přístup, vyberte v seznamu cílů jednotlivé cíle, které chcete ověřit na iniciátoru.
-
Chcete-li nastavit nový tajný klíč pro místní iniciátor a sdílet ho s vybranými cíli, klikněte na možnost Použít tajný klíč.
-
Zadejte a potvrďte tajný klíč CHAP pro místní iniciátor.
Chcete-li konfigurovat protokol IPsec, konfigurujte v dialogovém okně Spravovat zabezpečení iSCSI na kartě Portály následující nastavení:
-
Pokud chcete použít různé klíče protokolu IPsec pro různé portály, vyberte v seznamu portál a klikněte na možnost Nastavit klíč protokolu IPSec.
-nebo-
Chcete-li použít stejný klíč protokolu IPsec pro skupinu portálů, vyberte portály ze seznamu a klikněte na možnost Nastavit klíč protokolu IPSec.
-
V dialogovém okně Nastavit klíč protokolu IPSec zadejte a potvrďte nový klíč protokolu IPsec.
-
Chcete-li automaticky předat nový klíč místnímu iniciátoru, vyberte volitelně možnost Zapamatovat klíč protokolu IPSec na místním iniciátoru.
-
Chcete-li nastavit nový tajný klíč protokolu IPsec, klikněte na tlačítko OK.
-
Pokud chcete použít různé klíče protokolu IPsec pro různé portály, vyberte v seznamu portál a klikněte na možnost Nastavit klíč protokolu IPSec.
Po dokončení konfigurace zabezpečení iSCSI klikněte na tlačítko Zavřít.