Existem vários níveis de segurança iSCSI disponíveis com o Gestor de Armazenamento para SANs. O nível básico baseia-se no CHAP (Protocolo de Autenticação Challenge Handshake). O CHAP é um protocolo utilizado para autenticar o ponto de uma ligação e baseia-se nos pontos que partilham um segredo (uma chave de segurança semelhante a uma palavra-passe). O IPsec (Segurança IP) é um protocolo que implementa a autenticação e encriptação de dados na camada de pacote IP, que fornece um nível adicional de segurança.
Importante | |
Esta funcionalidade permite-lhe efectuar um subconjunto seleccionado de tarefas relacionadas com a configuração e administração de iSCSI. Também pode efectuar estas e outras tarefas utilizando o Iniciador Microsoft iSCSI, incluído nas Ferramentas Administrativas do Windows Server 2008. Além disso, os fornecedores de soluções de rede e armazenamento fornecem ferramentas semelhantes para efectuar tarefas de configuração e administração do iSCSI. Para mais informações sobre iSCSI, consulte |
É necessário seleccionar o nível de segurança mais adequado às políticas de segurança da organização:
-
Autenticação CHAP unidireccional. Com este nível de segurança, só o destino autentica o iniciador. O segredo é definido para o destino e todos os iniciadores que pretendem aceder a esse destino necessitam de utilizar o mesmo segredo para iniciar uma sessão de início de sessão com o destino.
-
Autenticação CHAP mútua. Com este nível de segurança, o destino e o iniciador efectuam a autenticação mútua. É definido um segredo separado para cada destino e para o iniciador na rede de área de armazenamento (SAN, storage area network).
-
IPsec. Com este nível de segurança, todos os pacotes IP enviados durante as transferências de dados são encriptados e autenticados. É definida uma chave comum em todos os portais IP, o que permite a todos os pontos efectuar a autenticação mútua e negociar a encriptação de pacotes. Para mais informações, consulte IPsec (
https://go.microsoft.com/fwlink/?linkid=93520 ). (Esta página poderá estar em inglês.)
Atenção | |
Utilize, como mínimo, a autenticação CHAP unidireccional entre iniciadores e destinos iSCSI. |
Nota | |
O nível de segurança que pode ser definido para um subsistema de armazenamento depende do fabricante de hardware. Nem todos os subsistemas suportam todos os níveis de segurança iSCSI. Contacte o fabricante de hardware para verificar o nível de segurança suportado. |
Para mais informações sobre o iSCSI, consulte
Ser membro do grupo local de Administradores ou equivalente, é o requisito mínimo para concluir este procedimento. Consulte os detalhes sobre como utilizar as contas adequadas e associações a grupos em
Para gerir a segurança iSCSI |
Na árvore da consola, clique em Gestão de LUN.
No painel Acções, clique em Gerir Segurança iSCSI.
Para configurar a autenticação CHAP unidireccional, na caixa de diálogo Gerir Segurança iSCSI, configure as seguintes definições no separador Destinos:
-
Se pretender configurar diferentes segredos CHAP para diferentes destinos, na lista de destinos, seleccione o destino para o qual pretende definir o segredo CHAP e clique em Definir Segredo.
- Ou -
Para utilizar o mesmo segredo CHAP para um grupo de destinos, seleccione os destinos a partir da lista e clique em Definir Segredo.
-
Na caixa de diálogo Definir Segredo, introduza e confirme o segredo CHAP do destino.
-
Opcionalmente, seleccione Lembrar segredo no iniciador local se pretender transmitir automaticamente o novo segredo ao iniciador local.
-
Para definir o novo segredo, clique em OK.
-
Se pretender configurar diferentes segredos CHAP para diferentes destinos, na lista de destinos, seleccione o destino para o qual pretende definir o segredo CHAP e clique em Definir Segredo.
Para configurar a autenticação CHAP mútua, primeiro é necessário configurar a autenticação CHAP unidireccional segundo as instruções no passo 3. Em seguida, introduza a seguinte configuração no separador Iniciador Local:
-
Introduza e confirme o segredo CHAP do iniciador local.
-
Na autenticação CHAP mútua, o iniciador só conseguirá iniciar sessão nos destinos que conhecem o segredo do iniciador. Para partilhar o segredo do iniciador com os destinos que o servidor necessita de aceder, na lista de destinos, seleccione cada destino que pretende autenticar no iniciador.
-
Para definir o novo segredo para o iniciador local e partilhá-lo com os destinos seleccionados, clique em Aplicar Segredo.
-
Introduza e confirme o segredo CHAP do iniciador local.
Para configurar a IPsec, na caixa de diálogo Gerir Segurança iSCSI, configure as seguintes definições no separador Portais:
-
Se pretender utilizar diferentes chaves IPsec para diferentes portais, na lista de portais, seleccione um portal e clique em Definir Chave IPsec.
- Ou -
Para utilizar a mesma chave IPsec para um grupo de portais, seleccione os portais a partir da lista e clique em Definir Chave IPsec.
-
Na caixa de diálogo Definir Chave IPsec, introduza e confirme a nova chave IPsec.
-
Opcionalmente, seleccione Lembrar a chave IPsec no iniciador local se pretender transmitir automaticamente a nova chave para o iniciador local.
-
Para definir a nova chave IPsec, clique em OK.
-
Se pretender utilizar diferentes chaves IPsec para diferentes portais, na lista de portais, seleccione um portal e clique em Definir Chave IPsec.
Quando concluir a configuração da segurança iSCSI, clique em Fechar.