SAN'lar için Depolama Yöneticisi'nde kullanılabilen birkaç iSCSI güvenlik düzeyi vardır. Temel düzey, Karşılıklı Kimlik Doğrulama Protokolü'ne (CHAP) dayandırılmıştır. CHAP, bir bağlantı eşinin kimliğini doğrulamada kullanılan ve eşlerin bir parola (parolaya benzeyen bir güvenlik anahtarı) paylaşmasına dayanan bir protokoldür. IP güvenliği (IPsec), ek bir güvenlik düzeyi sağlayan bir işlem olan IP paket katmanında kimlik doğrulamasını ve veri şifrelemeyi zorlayan bir protokoldür.

Önemli

Bu özellik, iSCSI yapılandırması ve yönetimiyle ilgili görevlerden seçilen bir alt kümeyi gerçekleştirmenizi sağlar. Ayrıca bu görevi ve diğer görevleri, Windows Server 2008'deki Yönetimsel Araçlar'da bulunan Microsoft iSCSI Başlatıcı'yı kullanarak da gerçekleştirebilirsiniz. Ek olarak, ağ ve depolama çözümleri satıcıları iSCSI yapılandırma ve yönetme görevlerini gerçekleştirmek için benzer çözümler sağlar. iSCSI hakkında daha fazla bilgi için bkz. https://go.microsoft.com/fwlink/?LinkId=102299 (bu sayfa İngilizce içeriğe sahip olabilir).

Kuruluşunuzun güvenlik ilkelerine en çok uyan güvenlik düzeyini seçmeniz gerekir:

  • One-way CHAP authentication. Bu güvenlik düzeyinde, başlatıcının kimliğini yalnızca hedef doğrular. Parola yalnızca hedef için ayarlanır ve o hedefe erişmek isteyen tüm başlatıcıların, hedefte bir oturum başlatmak için aynı parolayı kullanmaları gerekir.

  • Mutual CHAP authentication. Bu güvenlik düzeyinde, hedef ve başlatıcı birbirinin kimliğini doğrular. Depolama alanı ağındaki (SAN) her hedef ve her başlatıcı için ayrı bir gizli kod dizesi belirlenir.

  • IPsec. Bu güvenlik düzeyinde, veri aktarımları sırasında gönderilen tüm IP paketleri şifrelenir ve kimliği doğrulanır. Tüm IP portalları üzerinde, bütün eşlerin birbirinin kimliğini doğrulamasına ve paket şifrelemesinde anlaşmasına olanak tanıyan ortak bir anahtar ayarlanır. Daha fazla bilgi için bkz. IPsec (https://go.microsoft.com/fwlink/?linkid=93520) (Bu sayfa İngilizce içeriğe sahip olabilir).

Dikkat

iSCSI başlatıcıları ve hedefleri arasında en düşük seçenek olarak tek yönlü CHAP kimlik doğrulamasını kullanın.

Not

Depolama alt sistemi için ayarlayabileceğiniz güvenliğin düzeyi, donanım üreticisine bağlıdır. Alt sistemlerin hepsi iSCSI güvenlik düzeylerinin tümünü desteklemez. Hangi güvenlik düzeyinin desteklendiğini doğrulamak için donanım üreticinize başvurmanız gerekir.

iSCSI hakkında daha fazla bilgi için, bkz. https://go.microsoft.com/fwlink/?LinkId=93543. (Bu sayfa İngilizce içeriğe sahip olabilir.)

Bu yordamın tamamlanması için en azından yerel Administrators grubu üyeliği ya da eşdeğeri gerekir. Uygun hesapları ve grup üyeliklerini kullanma ile ilgili bilgileri https://go.microsoft.com/fwlink/?LinkId=83477 adresinde bulabilirsiniz.

iSCSI güvenliğini yönetmek için

  1. Konsol ağacında LUN Yönetimi'ni tıklatın.

  2. Eylemler bölmesinde iSCSI Güvenliğini Yönet'i tıklatın.

  3. Tek yönlü CHAP kimlik doğrulamasını yapılandırmak için, iSCSI Güvenliğini Yönet iletişim kutusundaki Hedefler sekmesinde aşağıdaki ayarları yapılandırın:

    1. Farklı hedefler için farklı CHAP parolaları yapılandırmak istiyorsanız, hedef listesinde CHAP parolasını ayarlamak istediğiniz hedefi seçin ve Parola Ayarla'yı tıklatın.

      -Veya-

      Bir hedef grubu için aynı CHAP parolasını kullanmak üzere listeden hedefleri seçin ve Parola Ayarla'yı tıklatın.

    2. Parola Ayarla iletişim kutusunda, hedefin CHAP parolasını yazın ve onaylayın.

    3. İsteğe bağlı olarak, parolayı yerel başlatıcıya otomatik olarak geçirmek istiyorsanız Yerel başlatıcıdaki parolayı anımsa'yı seçin.

    4. Yeni parolayı ayarlamak için, Tamam'ı tıklatın.

  4. Karşılıklı CHAP kimlik doğrulamasını yapılandırmak için, önce 3. adımı izleyerek tek yönlü CHAP kimlik doğrulamasını yapılandırmanız gerekir. Ardından, Yerel Başlatıcı sekmesinde aşağıdaki yapılandırmayı girin:

    1. Yerel başlatıcının CHAP parolasını yazıp onaylayın.

    2. Karşılıklı CHAP kimlik doğrulamasına göre, başlatıcı yalnızca başlatıcı parolasını bilen hedeflerde oturum açabilir. Başlatıcı parolasını sunucunun erişmesi gereken hedeflerle paylaşmak için, başlatıcıda kimliğini doğrulamak istediğiniz her hedefi hedef listesinden seçin.

    3. Yerel başlatıcı için yeni parolayı belirlemek ve onu seçilen hedeflerle paylaşmak üzere Parola Uygula'yı tıklatın.

  5. IPsec'i yapılandırmak için, iSCSI Güvenliğini Yönet iletişim kutusundaki Portallar sekmesinde aşağıdaki ayarları yapılandırın:

    1. Farklı portallar için farklı IPsec anahtarları kullanmak istiyorsanız, portal listesinden bir portal seçin ve IPsec Anahtarı Ayarla'yı tıklatın.

      -Veya-

      Bir portal grubu için aynı IPsec anahtarını kullanmak üzere, listeden portalları seçin ve IPsec Anahtarı Ayarla'yı tıklatın.

    2. IPsec Anahtarı Ayarla iletişim kutusunda yeni IPsec anahtarını yazın ve onaylayın.

    3. İsteğe bağlı olarak, yeni anahtarı yerel başlatıcıya otomatik olarak geçirmek istiyorsanız, Yerel başlatıcıdaki IPsec anahtarını anımsa'yı seçin.

    4. Yeni IPsec anahtarını belirlemek için Tamam'ı tıklatın.

  6. iSCSI güvenliğini yapılandırmayı tamamladığınızda Kapat'ı tıklatın.

Ek başvurular

İçindekiler