Der Speicher-Manager für SANs stellt verschiedene Stufen der iSCSI-Sicherheit zur Verfügung. Die grundlegende Stufe basiert auf dem Challenge Handshake Authentication-Protokoll (CHAP). CHAP ist ein Protokoll, mit dem der Peer einer Verbindung authentifiziert wird. Es basiert auf den Peers, die einen geheimen Schlüssel (ein Sicherheitsschlüssel ähnlich einem Kennwort) gemeinsam verwenden. Bei der IP-Sicherheit (IP security, IPsec) handelt es sich um ein Protokoll, das die Authentifizierung und Datenverschlüsselung in der IP-Paketschicht erzwingt und so zusätzliche Sicherheit bietet.

Wichtig

Dieses Feature ermöglicht es Ihnen, eine ausgewählte Teilmenge der Aufgaben bezüglich der iSCSI-Konfiguration und -Verwaltung durchzuführen. Sie können dafür auch den Microsoft iSCSI-Initiator verwenden, den Sie als Bestandteil von Windows Server 2008 unter Verwaltung finden. Außerdem bieten auch Lieferanten von Netzwerk- und Speicherlösungen ähnliche Tools für die iSCSI-Konfiguration und -Verwaltung an. Weitere Informationen zu iSCSI finden Sie unter https://go.microsoft.com/fwlink/?LinkId=102299 (möglicherweise in englischer Sprache).

Sie müssen die Sicherheitsstufe auswählen, die den Sicherheitsrichtlinien Ihrer Organisation am besten entspricht:

  • One-way CHAP authentication. Bei dieser Sicherheitsstufe wird der Initiator nur durch das Ziel authentifiziert. Der geheime Schlüssel wird nur für das Ziel festgelegt, und alle Initiatoren, die Zugriff auf dieses Ziel benötigen, müssen für den Start einer Anmeldesitzung mit dem Ziel denselben geheimen Schlüssel verwenden.

  • Mutual CHAP authentication. Bei dieser Sicherheitsstufe authentifizieren sich der Initiator und das Ziel gegenseitig. Für jedes Ziel und jeden Initiator im SAN (Storage Area Network) wird ein separater geheimer Schlüssel festgelegt.

  • IPsec. Bei dieser Sicherheitsstufe werden alle bei Datenübertragungen gesendeten IP-Pakete verschlüsselt und authentifiziert. Für alle IP-Portale wird ein gemeinsamer Schlüssel festgelegt. Dies ermöglicht allen Peers, sich gegenseitig zu authentifizieren und eine Paketverschlüsselung auszuhandeln. Weitere Informationen finden Sie im Thema zu IPSec (https://go.microsoft.com/fwlink/?linkid=93520, möglicherweise in englischer Sprache).

Vorsicht

Es sollte mindestens die unidirektionale CHAP-Authentifizierung zwischen iSCSI-Initiatoren und Zielen verwendet werden.

Hinweis

Welche Sicherheitsstufe Sie für ein Speichersubsystem festlegen können, hängt vom Hardwarehersteller ab. Nicht alle Subsysteme unterstützen alle iSCSI-Sicherheitsstufen. Wenn Sie erfahren möchten, welche Sicherheitsstufe unterstützt wird, sollten Sie sich an Ihren Hardwarehersteller wenden.

Weitere Informationen zu iSCSI finden Sie unter https://go.microsoft.com/fwlink/?LinkId=93543 (möglicherweise in englischer Sprache).

Mitgliedschaft in der lokalen Gruppe „Administratoren“ oder in einer entsprechenden Gruppe ist Grundvoraussetzung, um die folgenden Schritte ausführen zu können. Weitere Informationen zum Verwenden der passenden Konten und Gruppenmitgliedschaften finden Sie unter https://go.microsoft.com/fwlink/?LinkId=83477.

So verwalten Sie die iSCSI-Sicherheit
  1. Klicken Sie in der Konsolenstruktur auf LUN-Verwaltung.

  2. Klicken Sie im Aktionsbereich auf iSCSI-Sicherheit verwalten.

  3. Zum Konfigurieren der unidirektionalen CHAP-Authentifizierung konfigurieren Sie im Dialogfeld iSCSI-Sicherheit verwalten auf der Registerkarte Ziele die folgenden Einstellungen:

    1. Wenn Sie verschiedene geheime CHAP-Schlüssel für unterschiedliche Ziele konfigurieren möchten, wählen Sie aus der Liste mit Zielen ein Ziel aus, für das Sie den geheimen CHAP-Schlüssel festlegen möchten. Klicken Sie dann auf Schlüssel festlegen.

      -ODER-

      Wenn Sie denselben geheimen CHAP-Schlüssel für eine Gruppe von Zielen verwenden möchten, wählen Sie die Ziele aus der Liste aus, und klicken Sie auf Schlüssel festlegen.

    2. Geben Sie im Dialogfeld Schlüssel festlegen den geheimen CHAP-Schlüssel für das Ziel ein, und bestätigen Sie die Eingabe.

    3. Sie können auch die Option Schlüssel auf lokalem Initiator speichern auswählen, wenn der neue geheime Schlüssel automatisch an den lokalen Initiator übergeben werden soll.

    4. Wenn Sie den neuen geheimen Schlüssel festlegen möchten, klicken Sie auf OK.

  4. Wenn Sie die gegenseitige CHAP-Authentifizierung konfigurieren möchten, müssen Sie zunächst die unidirektionale CHAP-Authentifizierung konfigurieren, indem Sie Schritt 3 ausführen. Geben Sie dann auf der Registerkarte Lokaler Initiator die folgende Konfiguration ein:

    1. Geben Sie den geheimen CHAP-Schlüssel für den lokalen Initiator ein, und bestätigen Sie die Eingabe.

    2. Bei der gegenseitigen CHAP-Authentifizierung kann sich der Initiator nur bei Zielen anmelden, die den geheimen Schlüssel des Initiators kennen. Wenn Sie den geheimen Schlüssel des Initiators für die Ziele freigeben möchten, auf die der Server zugreifen muss, wählen Sie aus der Liste mit Zielen die einzelnen Ziele aus, die sich beim Initiator authentifizieren sollen.

    3. Wenn Sie den neuen geheimen Schlüssel für den lokalen Initiator festlegen und ihn für die ausgewählten Ziele freigeben möchten, klicken Sie auf Schlüssel übernehmen.

  5. Für die IPsec-Konfiguration müssen Sie im Dialogfeld iSCSI-Sicherheit verwalten auf der Registerkarte Portale die folgenden Einstellungen konfigurieren:

    1. Wenn Sie verschiedene IPsec-Schlüssel für unterschiedliche Portale verwenden möchten, wählen Sie aus der Liste mit Portalen ein Portal aus, und klicken Sie auf IPsec-Schlüssel festlegen.

      -ODER-

      Wenn Sie denselben IPsec-Schlüssel für eine Gruppe von Portalen verwenden möchten, wählen Sie die Portale aus der Liste aus, und klicken Sie auf IPsec-Schlüssel festlegen.

    2. Geben Sie im Dialogfeld IPsec-Schlüssel festlegen den neuen IPsec-Schlüssel ein, und bestätigen Sie die Eingabe.

    3. Sie können auch die Option IPsec-Schlüssel auf lokalem Initiator speichern auswählen, wenn der neue Schlüssel automatisch an den lokalen Initiator übergeben werden soll.

    4. Klicken Sie zum Festlegen des neuen IPsec-Schlüssels auf OK.

  6. Wenn Sie die Konfiguration der iSCSI-Sicherheit abgeschlossen haben, klicken Sie auf Schließen.