Plusieurs niveaux de sécurité iSCSI sont disponibles avec le Gestionnaire de stockage pour réseau SAN. Le niveau de base repose sur le protocole CHAP (Challenge Handshake Authentication Protocol). CHAP est un protocole qui sert à authentifier l’homologue d’une connexion et qui s’appuie sur le partage d’un secret (clé de sécurité similaire à un mot de passe) entre homologues. IPsec (IP security) est un protocole qui impose l’authentification et le chiffrement des données sur la couche paquet IP, ce qui fournit un niveau de sécurité supplémentaire.
Important | |
Cette fonctionnalité permet de sélectionner un sous-ensemble des tâches relatives à la configuration et à l’administration iSCSI. Vous pouvez également effectuer ces tâches, ainsi que d’autres tâches, à l’aide de l’initiateur Microsoft iSCSI, inclus dans les Outils d’administration de Windows Server 2008. En outre, les fournisseurs de solutions de mise en réseau et de stockage fournissent des outils similaires permettant d’effectuer les tâches de configuration et d’administration iSCSI. Pour plus d’informations sur iSCSI, voir |
Vous devez choisir le niveau de sécurité qui convient le mieux aux stratégies de votre entreprise en matière de sécurité :
-
One-way CHAP authentication. Avec ce niveau de sécurité, seule la cible authentifie l’initiateur. Le secret est défini seulement pour la cible et tous les initiateurs qui veulent accéder à cette cible doivent utiliser le même secret pour démarrer une ouverture de session avec elle.
-
Mutual CHAP authentication. Avec ce niveau de sécurité, la cible et l’initiateur s’authentifient l’un l’autre. Un secret distinct est défini pour chaque cible et chaque initiateur du réseau SAN (Storage Area Network).
-
IPsec. Avec ce niveau de sécurité, tous les paquets IP envoyés au cours des transferts de données sont chiffrés et authentifiés. Une clé commune est définie sur tous les portails IP, permettant à tous les homologues de s’authentifier mutuellement et de négocier le chiffrement des paquets. Pour plus d’informations, voir IPsec (
https://go.microsoft.com/fwlink/?linkid=93520 ).
Attention | |
Au minimum, utilisez l’authentification CHAP à sens unique entre les initiateurs iSCSI et les cibles. |
Remarques | |
Le niveau de sécurité que vous pouvez définir pour un sous-système de stockage dépend du fabricant du matériel. En effet, tous les sous-systèmes ne prennent pas en charge tous les niveaux de sécurité iSCSI. Nous vous conseillons de contacter le fabricant de votre matériel pour vérifier le niveau de sécurité qui est pris en charge. |
Pour obtenir des informations sur les sous-systèmes de stockage iSCSI, voir
Vous devez au moins être membre du groupe Administrateurs (ou un groupe équivalent) pour effectuer cette procédure. Consultez les informations détaillées sur l'utilisation des comptes et des appartenances au groupe appropriés sur le site Web suivant :
Pour gérer la sécurité iSCSI |
Dans l’arborescence de la console, cliquez sur Gestion des numéros d’unités logiques.
Dans le volet Actions, cliquez sur Gérer la sécurité iSCSI.
Pour configurer l’authentification CHAP à sens unique, dans la boîte de dialogue Gérer la sécurité iSCSI, configurez les paramètres suivants sous l’onglet Cibles :
-
Si vous voulez configurer des secrets CHAP différents pour des cibles différentes, dans la liste des cibles, sélectionnez une cible pour laquelle vous voulez définir le secret CHAP, puis cliquez sur Définir le secret.
- ou -
Pour utiliser le même secret CHAP pour un groupe de cibles, sélectionnez les cibles dans la liste, puis cliquez sur Définir le secret.
-
Dans la boîte de dialogue Définir le secret, tapez et confirmez le secret CHAP de la cible.
-
Si vous le souhaitez, activez Retenir le secret sur l’initiateur local si vous voulez transmettre automatiquement le nouveau secret à l’initiateur local.
-
Pour définir le nouveau secret, cliquez sur OK.
-
Si vous voulez configurer des secrets CHAP différents pour des cibles différentes, dans la liste des cibles, sélectionnez une cible pour laquelle vous voulez définir le secret CHAP, puis cliquez sur Définir le secret.
Pour configurer l’authentification CHAP mutuelle, vous devez d’abord configurer l’authentification CHAP à sens unique en effectuant l’étape 3. Ensuite, entrez la configuration suivante sous l’onglet Initiateur local :
-
Tapez et confirmez le secret CHAP pour l’initiateur local.
-
En cas d’authentification CHAP mutuelle, l’initiateur ne pourra se connecter qu’aux cibles qui connaissent son secret. Pour partager le secret d’initiateur avec les cibles auxquelles le serveur doit accéder, dans la liste des cibles, sélectionnez chaque cible que vous voulez authentifier sur l’initiateur.
-
Pour définir le nouveau secret pour l’initiateur local et le partager avec les cibles sélectionnées, cliquez sur Appliquer le secret.
-
Tapez et confirmez le secret CHAP pour l’initiateur local.
Pour configurer IPsec, dans la boîte de dialogue Gérer la sécurité iSCSI, configurez les paramètres suivants sous l’onglet Portails :
-
Si vous voulez utiliser différentes clés IPsec pour des portails différents, dans la liste des portails, sélectionnez un portail et cliquez sur Définir la clé IPsec.
- ou -
Pour utiliser la même clé IPsec pour un groupe de portails, sélectionnez les portails dans la liste, puis cliquez sur Définir la clé IPsec.
-
Dans la boîte de dialogue Définir la clé IPsec, tapez et confirmez une nouvelle clé IPsec.
-
Si vous le souhaitez, activez Retenir la clé IPsec sur l’initiateur local si vous voulez transmettre automatiquement la nouvelle clé à l’initiateur local.
-
Pour définir la nouvelle clé IPsec, cliquez sur OK.
-
Si vous voulez utiliser différentes clés IPsec pour des portails différents, dans la liste des portails, sélectionnez un portail et cliquez sur Définir la clé IPsec.
Lorsque vous avez terminé de configurer la sécurité iSCSI, cliquez sur Fermer.