Pomocí Průzkumníka úložišť můžete nakonfigurovat nastavení zabezpečení iSCSI, které iniciátory ve vaší síti SAN (Storage Area Network) vyžadují k připojení k cílům a cílovým portálům. Pro rozhraní existuje několik úrovní zabezpečení iSCSI a je nutné zvolit ty, které cíl nebo cílový portál vyžaduje.
Důležité informace | |
Tato funkce umožňuje provádět vybranou podsadu úkolů, které souvisí s konfigurací a správou rozhraní iSCSI. Tyto a další úkoly lze také provádět pomocí Iniciátoru iSCSI společnosti Microsoft, který je součástí Nástrojů pro správu systému Windows Server 2008 nebo novějších. Dodavatelé síťových řešení a řešení pro ukládání dat poskytují podobné nástroje, které mohou provádět úkoly konfigurace a správy rozhraní iSCSI. Další informace o rozhraní iSCSI naleznete na adrese |
Průzkumník úložišť podporuje následující úrovně zabezpečení iSCSI:
-
Ověřování protokolem CHAP
-
Ověřování pomocí protokolu RADIUS
-
Ověřování a šifrování pomocí protokolu IPsec
Ověřování protokolem CHAP
Challenge Handshake Authentication Protocol (CHAP) představuje základní úroveň zabezpečení. Protokol CHAP je protokol, který se používá k ověřování rovnocenných členů připojení a je založen na rovnocenných členech, kteří sdílejí tajný klíč (bezpečnostní klíč, který je podobný heslu).
Existují dva typy ověřování protokolem CHAP:
-
One-way CHAP authentication: Při použití této úrovně zabezpečení je cílem iSCSI ověřován pouze iniciátor. Tajný klíč je nastaven pouze pro cíl. Všechny iniciátory, které chtějí získat přístup k příslušnému cíli, musí použít stejný tajný klíč, aby bylo možné zahájit relaci přihlášení s cílem.
-
Mutual CHAP authentication: S touto úrovní zabezpečení se cíl a iniciátor iSCSI ověřují navzájem. Pro každý cíl a pro každého iniciátora v síti SAN je nastaven samostatný tajný klíč.
Upozornění | |
Minimálně použijte mezi iniciátory iSCSI a cíli jednosměrné ověřování protokolem CHAP. |
Ověřování pomocí protokolu RADIUS
RADIUS (Remote Authentication Dial-In User Service) je standard používaný pro údržbu a správu ověřování uživatelů. Na rozdíl od protokolu CHAP neprobíhá ověřování protokolem RADIUS mezi rovnocennými počítači, ale mezi klientem a serverem RADIUS. Pokud chce uživatel (iniciátor iSCSI) získat přístup k prostředkům na klientovi (cíl iSCSI), odešle klient na server RADIUS požadavek na připojení uživatele. Server RADIUS je zodpovědný za ověření uživatele a následně za vrácení všech potřebných konfiguračních informací klientovi za účelem doručení služby uživateli. Transakce mezi klientem a serverem RADIUS jsou také ověřovány pomocí tajného klíče.
Abyste mohli použít tuto úroveň zabezpečení, je nutné, aby v síti běžel server RADIUS. Pokud v síti neběží, je nutné ho nasadit.
Ověřování a šifrování pomocí protokolu IPsec
Protokol IPsec (Internet Protocol security) je protokol, který vynucuje ověřování a šifrování dat na vrstvě paketů protokolu IP. Protokol IPsec lze navíc používat k ověřování protokolem CHAP nebo RADIUS, aby byla k dispozici vyšší úroveň zabezpečení.
Když povolíte protokol IPsec, jsou šifrovány a ověřovány všechny pakety protokolu IP odeslané během přenosů dat. U všech portálů protokolu IP je nastaven společný klíč, který umožňuje všem rovnocenným členům vzájemné ověření a vyjednání šifrování paketů. Další informace naleznete na webu protokolu IPsec (
Další požadavky
-
Úroveň zabezpečení, kterou je možné nastavit pro podsystém úložiště, závisí na výrobci hardwaru. Ne všechny podsystémy podporují všechny úrovně zabezpečení iSCSI. Chcete-li si ověřit úroveň zabezpečení, která je podporována, kontaktujte výrobce hardwaru.
-
Nejbezpečnější tajné klíče CHAP nejsou slova nebo fráze, ale náhodná sekvence znaků.
Další odkazy
-
Další informace o rozhraní iSCSI naleznete na adrese
https://go.microsoft.com/fwlink/?linkid=93543 (stránka může být v angličtině).
-
Přihlášení k cílům iSCSI
-
Konfigurace iniciátorů iSCSI
-
Správa serverů
-
Průzkumník úložišť