Eksplorator magazynu umożliwia konfigurowanie ustawień zabezpieczeń iSCSI, których inicjatorzy w sieci magazynowania (SAN, storage area network) wymagają do łączenia się z portalami obiektów docelowych. Istnieje kilka poziomów zabezpieczeń iSCSI - należy wybrać poziomy wymagane przez obiekt docelowy lub jego portal.

Ważne

Ta funkcja umożliwia wybieranie i wykonywanie podzbioru zadań związanych z konfigurowaniem i administracją interfejsu iSCSI. Te i inne zadania można wykonywać także za pomocą inicjatora iSCSI firmy Microsoft, który znajduje się w folderze Narzędzia administracyjne systemu Windows Server 2008 lub nowszego. Poza tym producenci i dostawcy rozwiązań sieciowych i magazynowych oferują podobne narzędzia do wykonywania zadań konfiguracyjnych i administracyjnych dotyczących interfejsu iSCSI. Aby uzyskać więcej informacji o protokole iSCSI, zobacz stronę https://go.microsoft.com/fwlink/?LinkId=102299 (strona może zostać wyświetlona w języku angielskim).

Eksplorator magazynu obsługuje następujące poziomy zabezpieczeń iSCSI:

Uwierzytelnianie w protokole CHAP

Protokół CHAP (Challenge Handshake Authentication Protocol) stanowi podstawowy poziom zabezpieczeń. Protokół CHAP służy do uwierzytelniania elementu równorzędnego podczas połączenia i jest oparty na wspólnym kluczu tajnym (kluczu zabezpieczeń podobnym do hasła) używanym przez elementy równorzędne.

Istnieją dwa typy uwierzytelniania protokołu CHAP:

  • One-way CHAP authentication. Przy takim poziomie zabezpieczeń inicjator jest uwierzytelniany tylko przez obiekt docelowy iSCSI. Klucz tajny jest ustawiany tylko dla obiektu docelowego. W celu uzyskania dostępu do obiektu docelowego każdy inicjator musi użyć takiego samego klucza tajnego, aby rozpocząć sesję logowania do obiektu docelowego.

  • Mutual CHAP authentication. Przy takim poziomie zabezpieczeń obiekt docelowy iSCSI i inicjator uwierzytelniają się wzajemnie. Dla każdego obiektu docelowego i inicjatora w sieci SAN jest ustawiany oddzielny klucz tajny.

Przestroga

Między inicjatorami iSCSI a obiektami docelowymi należy stosować przynajmniej uwierzytelnianie jednokierunkowe w protokole CHAP.

Uwierzytelnianie RADIUS

Usługa RADIUS (Remote Authentication Dial-In User Service) jest popularnym standardem umożliwiającym obsługę funkcji uwierzytelniania i weryfikacji użytkowników oraz zarządzania nimi. W przeciwieństwie do protokołu CHAP uwierzytelnianie RADIUS jest wykonywane nie między komputerami równorzędnymi, lecz między serwerem a klientem usługi RADIUS. Gdy użytkownik (inicjator iSCSI) chce uzyskać dostęp do zasobów na kliencie (obiekcie docelowym iSCSI), klient wysyła żądanie połączenia użytkownika do serwera usługi RADIUS. Serwer usługi RADIUS uwierzytelnia użytkownika, a następnie zwraca wszystkie informacje o konfiguracji, dzięki którym klient może dostarczyć usługę użytkownikowi. Transakcje między klientem a serwerem usługi RADIUS są także uwierzytelnianie przy użyciu wspólnego hasła.

Zastosowanie tego poziomu zabezpieczeń wymaga, aby w sieci był uruchomiony (lub został wdrożony) serwer RADIUS.

Uwierzytelnianie i szyfrowanie IPSec

Protokół IPSec wymusza uwierzytelnianie i szyfrowanie danych w warstwie pakietów protokołu IP. Protokołu IPSec można użyć dodatkowo do uwierzytelniania CHAP lub RADIUS w celu zapewnienia kolejnego poziomu zabezpieczeń.

Po włączeniu protokołu IPSec wszystkie przesyłane pakiety IP będą szyfrowane i uwierzytelniane. Dla wszystkich portali IP zostanie ustawiony wspólny klucz, co umożliwi wszystkim elementom równorzędnym wzajemne uwierzytelnianie i negocjowanie szyfrowania pakietów. Aby uzyskać więcej informacji, zobacz artykuł dotyczący protokołu IPSec (https://go.microsoft.com/fwlink/?LinkId=93520 (strona może zostać wyświetlona w języku angielskim)).

Uwagi dodatkowe

  • Poziom zabezpieczeń, który można ustawić dla podsystemu magazynowania, zależy od producenta sprzętu. Nie wszystkie podsystemy obsługują pełny zakres poziomów zabezpieczeń iSCSI. Informacje na temat obsługiwanych poziomów zabezpieczeń można uzyskać u producenta sprzętu.

  • Najbezpieczniejszymi kluczami tajnymi protokołu CHAP są nie wyrazy czy frazy, lecz losowe sekwencje znaków.

Dodatkowe informacje