Vous pouvez utiliser Explorateur de stockage pour configurer les paramètres de sécurité iSCSI dont les initiateurs dans votre réseau SAN ont besoin pour se connecter aux cibles et aux portails cibles. Plusieurs niveaux de sécurité sont disponibles pour iSCSI, et vous devez choisir ceux requis par la cible ou le portail cible.

Important

Cette fonctionnalité permet de sélectionner un sous-ensemble des tâches relatives à la configuration et à l’administration iSCSI. Vous pouvez également effectuer ces tâches, ainsi que d’autres tâches, à l’aide de l’initiateur Microsoft iSCSI, inclus dans les Outils d’administration de Windows Server 2008 ou version ultérieure. En outre, les fournisseurs de solutions de mise en réseau et de stockage fournissent des outils similaires permettant d’effectuer les tâches de configuration et d’administration iSCSI. Pour plus d’informations sur iSCSI, voir https://go.microsoft.com/fwlink/?LinkId=102299.

Explorateur de stockage prend en charge les niveaux de sécurité iSCSI suivants :

Authentification CHAP

CHAP (Challenge Handshake Authentication Protocol) est le niveau de sécurité de base. CHAP est un protocole qui sert à authentifier l’homologue d’une connexion et qui s’appuie sur le partage d’un secret (clé de sécurité similaire à un mot de passe) entre homologues.

Il existe deux types d’authentification CHAP :

  • One-way CHAP authentication. Avec ce niveau de sécurité, seule la cible iSCSI authentifie l’initiateur. Le secret n’est défini que pour la cible. Tous les initiateurs qui souhaitent accéder à cette cible doivent utiliser le même secret pour démarrer une session de connexion avec la cible.

  • Mutual CHAP authentication. Avec ce niveau de sécurité, la cible iSCSI et l’initiateur s’authentifient mutuellement. Un secret séparé est défini pour chaque cible et pour chaque initiateur du réseau SAN.

Attention

Au minimum, utilisez l’authentification CHAP à sens unique entre les initiateurs iSCSI et les cibles.

Authentification RADIUS

RADIUS (Remote Authentication Dial-In User Service) est un standard servant à maintenir et gérer l’authentification et la validation des utilisateurs. Contrairement à CHAP, l’authentification avec RADIUS n’est pas effectuée entre homologues, mais entre un serveur RADIUS et un client. Lorsqu’un utilisateur (un initiateur iSCSI) souhaite accéder aux ressources dans un client (une cible iSCSI), le client envoie une demande de connexion au serveur RADIUS. Le serveur RADIUS est chargé de l’authentification des utilisateurs et du renvoi des informations de configuration nécessaires pour permettre au client de fournir un service à l’utilisateur. Les transactions entre le client et le serveur RADIUS sont également authentifiées par l’utilisation d’un secret partagé.

Pour utiliser ce niveau de sécurité, un serveur RADIUS doit fonctionner sur le réseau, ou vous devez en déployer un.

Authentification et chiffrement IPsec

IPsec (Internet Protocol security) est un protocole qui applique l’authentification et le chiffrement de données sur la couche des paquets. IPsec peut être utilisé en complément de l’authentification CHAP pour fournir un niveau de sécurité plus élevé.

Lorsque vous activez IPsec, tous les paquets IP envoyés pendant le transfert des données sont chiffrés et authentifiés. Une clé commune est définie sur tous les portails IP, ce qui permet à tous les homologues de s’authentifier et de négocier le chiffrement du paquet. Pour plus d’informations, voir IPsec (https://go.microsoft.com/fwlink/?linkid=93520).

Considérations supplémentaires

  • Le niveau de sécurité que vous pouvez définir pour un sous-système de stockage dépend du fabricant du matériel. En effet, certains sous-systèmes ne prennent pas en charge tous les niveaux de la sécurité iSCSI. Nous vous conseillons de contacter le fabricant de votre matériel pour vérifier le niveau de sécurité qui est pris en charge.

  • Les secrets CHAP les plus sécurisés ne sont pas des mots ou des phrases, mais une séquence aléatoire de caractères.

Références supplémentaires