È possibile utilizzare Esplora archivi per configurare le impostazioni di sicurezza iSCSI necessarie agli iniziatori nella rete di archiviazione (SAN) per la connessione a destinazioni e portali destinazione. Per iSCSI sono disponibili diversi livelli di sicurezza, tra i quali si dovranno scegliere quelli necessari per la destinazione o per il portale destinazione.

Importante

Questa funzionalità consente di eseguire un sottoinsieme selezionato delle attività relative alla configurazione e all'amministrazione di iSCSI. È inoltre possibile eseguire queste e altre attività utilizzando l'iniziatore iSCSI Microsoft, incluso negli strumenti di amministrazione di Windows Server 2008 o versione successiva. Inoltre, i fornitori di soluzioni per l'archiviazione e per le reti offrono strumenti simili per l'esecuzione delle attività di configurazione e amministrazione di iSCSI. Per ulteriori informazioni su iSCSI, visitare il sito Web all'indirizzo https://go.microsoft.com/fwlink/?LinkId=102299.

Esplora archivi supporta i seguenti livelli di sicurezza iSCSI:

Autenticazione CHAP

Il livello base di sicurezza è costituito dal protocollo CHAP (Challenge Handshake Authentication Protocol), un protocollo che consente l'autenticazione del peer di una connessione ed è basato sulla condivisione di un segreto (una chiave di sicurezza analoga a una password) tra i peer.

Esistono due tipi di autenticazione CHAP:

  • One-way CHAP authentication. Con questo livello di sicurezza, soltanto la destinazione iSCSI esegue l'autenticazione dell'iniziatore. Il segreto viene impostato solo per la destinazione. Tutti gli iniziatori che desiderano accedervi devono utilizzare lo stesso segreto per avviare una sessione di accesso con la destinazione.

  • Mutual CHAP authentication. Con questo livello di sicurezza, la destinazione iSCSI e l'iniziatore eseguono l'autenticazione reciproca. Per ogni destinazione e ogni iniziatore della rete SAN viene impostato un segreto separato.

Attenzione

Tra iniziatori e destinazioni iSCSI utilizzare almeno l'autenticazione CHAP unidirezionale.

Autenticazione RADIUS

Il protocollo RADIUS (Remote Authentication Dial-In User Service) è uno standard utilizzato per la gestione dell'autenticazione e della convalida degli utenti. A differenza di CHAP, RADIUS non esegue l'autenticazione tra peer, ma tra un server RADIUS e un client. Quando un utente (un iniziatore iSCSI) desidera accedere alle risorse di un client (una destinazione iSCSI), il client invia al server RADIUS una richiesta di connessione utente. Il server RADIUS è responsabile dell'autenticazione dell'utente e della restituzione di tutte le informazioni di configurazione necessarie al client per fornire il servizio all'utente. Anche le transazioni tra il client e il server RADIUS vengono autenticate tramite un segreto condiviso.

Per utilizzare questo livello di sicurezza è necessario disporre di un server RADIUS in rete o distribuirne uno.

Autenticazione e crittografia IPSec

Il protocollo IPsec (Internet Protocol security) applica l'autenticazione e la crittografia dei dati a livello di pacchetto IP. IPSec può essere utilizzato in aggiunta all'autenticazione CHAP o RADIUS per implementare un ulteriore livello di sicurezza.

Quando si abilita IPSec, tutti i pacchetti IP inviati durante i trasferimenti dati vengono crittografati e autenticati. In tutti i portali IP viene impostata una chiave comune, in modo da consentire a tutti i peer di eseguire l'autenticazione reciproca e negoziare la crittografia dei pacchetti. Per ulteriori informazioni su IPsec, visitare la pagina all'indirizzo https://go.microsoft.com/fwlink/?linkid=93520.

Ulteriori considerazioni

  • Il livello di sicurezza che è possibile impostare per un sottosistema di archiviazione dipende dal produttore dell'hardware. Non tutti i sottosistemi supportano tutti i livelli di sicurezza iSCSI. È consigliabile contattare il produttore dell'hardware per verificare il livello di sicurezza supportato.

  • I segreti CHAP più sicuri non sono parole o frasi, ma una sequenza casuale di caratteri.

Ulteriori riferimenti