Depolama alanı ağınızdaki (SAN) başlatıcıların hedeflere ve hedef portallarına bağlanması için gereken iSCSI güvenlik ayarlarını yapılandırmak üzere Depolama Gezgini'ni kullanabilirsiniz. iSCSI için farklı güvenlik düzeyleri vardır ve hedef veya hedef portalı için gerekli olanlar seçmeniz gerekir.

Önemli

Bu özellik, iSCSI yapılandırması ve yönetimiyle ilgili görevlerden seçilen bir alt kümeyi gerçekleştirmenizi sağlar. Ayrıca bu görevi ve diğer görevleri, Windows Server 2008 veya sonraki bir sürümdeki Yönetimsel Araçlar'da bulunan Microsoft iSCSI Başlatıcısı'nı kullanarak da gerçekleştirebilirsiniz. Ek olarak, ağ ve depolama çözümleri satıcıları iSCSI yapılandırma ve yönetme görevlerini gerçekleştirmek için benzer çözümler sağlar. iSCSI hakkında daha fazla bilgi için bkz. https://go.microsoft.com/fwlink/?LinkId=102299. (Bu sayfa İngilizce içeriğe sahip olabilir.)

Depolama Gezgini aşağıdaki iSCSI güvenlik düzeylerini destekler:

CHAP kimlik doğrulaması

Karşılıklı Kimlik Doğrulama Protokolü (CHAP) temel güvenlik düzeyidir. CHAP, bir bağlantı eşinin kimliğini doğrulamada kullanılan ve eşlerin bir parola (parolaya benzeyen bir güvenlik anahtarı) paylaşmasına dayanan bir protokoldür.

İki tür CHAP kimlik doğrulaması vardır:

  • One-way CHAP authentication. Bu güvenlik düzeyinde, başlatıcının kimliğini yalnızca iSCSI hedefi doğrular. Parola yalnızca hedef için ayarlanır. Hedefe erişmek isteyen tüm başlatıcıların hedefte bir oturum başlatmaları için aynı parolayı kullanmaları gerekir.

  • Mutual CHAP authentication. Bu güvenlik düzeyinde, iSCSI hedefi ve başlatıcı birbirinin kimliğini doğrular. SAN'daki her hedef ve her başlatıcı için ayrı bir parola belirlenir.

Dikkat

iSCSI başlatıcıları ve hedefleri arasında en düşük seçenek olarak tek yönlü CHAP kimlik doğrulamasını kullanın.

RADIUS kimlik doğrulaması

Arayan Kullanıcının Uzaktan Kimliğini Doğrulama Hizmeti (RADIUS), kullanıcı kimlik doğrulamasının yürütülmesinde ve yönetilmesinde kullanılan bir standarttır. CHAP'nin tersine RADIUS ile kimlik doğrulama eşler arasında değil, RADIUS sunucusuyla bir istemci arasında yapılır. Bir kullanıcı (iSCSI başlatıcısı) bir istemcideki (iSCSI hedefi) kaynaklara erişmek istediğinde, istemci RADIUS sunucusuna bir bağlantı isteği gönderir. RADIUS sunucusu kullanıcının kimliğinin doğrulanmasından ve sonra istemcinin kullanıcıya hizmet sunması için gerekli tüm yapılandırma bilgilerinin döndürülmesinden sorumludur. İstemci ve RADIUS sunucusu arasındaki işlemlerde de paylaşılan bir parola kullanılarak kimlik doğrulama yapılır.

Bu güvenlik düzeyini kullanmak için, ağınızda bir RADIUS sunucusunun çalışıyor olması gerekir; yoksa bir tane sağlamalısınız.

IPsec kimlik doğrulaması ve şifreleme

Internet Protokolü güvenliği (IPsec), kimlik doğrulamayı ve veri şifrelemeyi IP paketi katmanında zorlayan bir protokoldür. IPsec, güvenlik düzeyini artırmak için CHAP veya RADIUS kimlik doğrulamasına ek olarak kullanılabilir.

IPsec'i etkinleştirdiğinizde, veri aktarımları sırasında gönderilen tüm IP paketleri şifrelenir ve kimliği doğrulanır. Tüm IP portalları üzerinde, bütün eşlerin birbirinin kimliğini doğrulamasına ve paket şifrelemesinde anlaşmasına olanak tanıyan ortak bir anahtar ayarlanır. IPsec hakkında daha fazla bilgi için, bkz. (https://go.microsoft.com/fwlink/?linkid=93520). (Bu sayfa İngilizce içeriğe sahip olabilir.)

Dikkat edilecek diğer noktalar

  • Depolama alt sistemi için ayarlayabileceğiniz güvenliğin düzeyi, donanım üreticisine bağlıdır. Alt sistemlerin hepsi iSCSI güvenlik düzeylerinin tümünü desteklemez. Hangi güvenlik düzeyinin desteklendiğini doğrulamak için donanım üreticinize başvurmanız gerekir.

  • En güvenli CHAP parolaları sözcükler veya cümleler değil, rastgele belirlenen karakter dizileridir.

Ek başvurular