A Tártallózó használatával konfigurálhatja azokat a biztonsági iSCSI-beállításokat, amelyekre a tárolóhálózaton található kezdeményezőknek szükségük van, hogy kapcsolódni tudjanak a tárolókhoz és a tárolókapukhoz. Az iSCSI számos különböző biztonsági szint használatát támogatja, ezek közül azokat kell kiválasztania, amelyeket a tároló vagy a tárolókapu megkövetel.
 | Fontos! |
|
A szolgáltatás lehetővé teszi, hogy az iSCI-konfigurációhoz és -felügyelethez kapcsolódó feladatoknak csak egy kijelölt részét hajtsa végre. Ezek, illetve egyéb feladatok is elvégezhetők a Microsoft iSCSI-kezdeményező segítségével, amely a Windows Server 2008 és az újabb verziók felügyeleti eszközeinek a része. Emellett a hálózati és tárolási megoldásokat kínáló gyártók is biztosítanak hasonló eszközöket az iSCSI-konfigurálási és -felügyeleti feladatok végrehajtásához. Az iSCSI szolgáltatással kapcsolatos további tudnivalók a |
A Tártallózó az alábbi iSCSI-biztonsági szinteket támogatja:
CHAP-hitelesítés
A CHAP (Challenge Handshake Authentication Protocol) az alapvető biztonsági szint. A CHAP egy kapcsolat feleinek hitelesítésére szolgáló protokoll, és a felek közötti titok megosztásán alapul. A titok egy jelszóhoz hasonló titkos kulcs.
Két különböző típusú CHAP-hitelesítés létezik:
-
One-way CHAP authentication: Ennél a biztonsági szintnél csak az iSCSI-tároló azonosítja a kezdeményezőt. A titok csak a tárolóhoz van beállítva. Az összes, a tárolóhoz kapcsolódni próbáló kezdeményezőnek ugyanazt a titkot kell használnia, hogy bejelentkezési munkamenetet kezdeményezhessenek a tárolóval.
-
Mutual CHAP authentication: Ennél a biztonsági szintnél az iSCSI-tároló és a kezdeményező azonosítják egymást. Ekkor külön titkot kell megadni a tárolóhálózat minden tárolója és kezdeményezője számára.
 | Figyelem! |
|
Legalább az egyirányú CHAP-hitelesítést állítsa be az iSCSI-kezdeményezők és -tárolók között. |
RADIUS-hitelesítés
A RADIUS szabvány a felhasználók azonosításának és ellenőrzésének fenntartására és kezelésére szolgál. A CHAP-hitelesítéssel ellentétben a RADIUS-hitelesítés nem két végpont között, hanem egy RADIUS-kiszolgáló és egy ügyfél között történik. Amikor egy felhasználó (iSCSI-kezdeményező) hozzá kíván férni egy ügyfélen (iSCSI-tárolón) található erőforrásokhoz, az ügyfél egy felhasználói kapcsolódási kérést küld a RADIUS-kiszolgálónak. A RADIUS-kiszolgáló felelős a felhasználó azonosításáért, és azért is, hogy minden olyan konfigurációs információt visszajuttasson az ügyfélnek, amely alapján az megfelelő szolgáltatást tud nyújtani a felhasználónak. Az ügyfél és a RADIUS-kiszolgáló közötti tranzakciókat egy közös titkos kulcs is hitelesíti.
Ahhoz, hogy ezt a biztonsági szintet használni tudja, a hálózaton kell lennie egy RADIUS-kiszolgálónak, vagy telepítenie kell egy ilyen kiszolgálót.
IPSec-hitelesítés és -titkosítás
Az IPSec egy olyan protokoll, amely az IP-csomagok szintjén teszi kötelezővé a hitelesítést és az adatok tikosítását. Az IPSec a CHAP-, illetve a RADIUS-hitelesítéssel együtt alkalmazva tovább növeli a biztonságot.
Amikor engedélyezi az IPSec szolgáltatást, a rendszer az adatátvitel során küldött minden egyes IP-csomagot titkosít és azonosít. Minden IP-kapun be van állítva egy közös kulcs, amely lehetővé teszi, hogy a végpontok kölcsönösen azonosítsák egymást, és egyeztessék a csomagok titkosítását. További információt az IPsec szolgáltatásról a
További szempontok
-
A tárolóalrendszerekben beállítható biztonsági szint a hardvergyártóktól függ. Nem minden alrendszer támogatja az összes iSCSI-biztonsági szintet. A támogatott biztonsági szintekről a hardvergyártónál tájékozódhat.
-
A legbiztonságosabb CHAP-titkok nem szavak vagy kifejezések, hanem véletlenszerűen generált karakterláncok.
További hivatkozások
-
További információt az iSCSI protokollról a
https://go.microsoft.com/fwlink/?LinkId=93543 webhelyen talál (előfordulhat, hogy a lap angolul jelenik meg).
-
Bejelentkezés iSCSI-tárolókra
-
iSCSI-kezdeményezők konfigurálása
-
Kiszolgálók kezelése
-
Tártallózó