A Tárolóhálózati tárkezelő az iSCSI-biztonság több szintjét is támogatja. Az alapfokú szintet a CHAP protokoll jelenti. A CHAP egy kapcsolat feleinek hitelesítésére szolgáló protokoll, és a felek közti titok megosztásán alapul. A titok egy jelszóhoz hasonló titkos kulcs. Az IP-biztonságként is ismert IPsec protokoll az IP-csomagok szintjén valósítja meg a hitelesítést és az adattitkosítást, ami tovább fokozza a biztonságot.

Fontos!

A szolgáltatás lehetővé teszi, hogy az iSCI-konfigurációhoz és -felügyelethez kapcsolódó feladatoknak csak egy kijelölt részét hajtsa végre. Ezek, illetve más egyéb feladatok is elvégezhetők a Microsoft iSCSI-kezdeményező segítségével, amely a Windows Server 2008 felügyeleti eszközeinek a része. Emellett a hálózati és tárolási megoldásokat kínáló gyártók is biztosítanak hasonló eszközöket az iSCSI-konfigurálási és -felügyeleti feladatok végrehajtásához. Az iSCSI szolgáltatással kapcsolatos további tudnivalók a https://go.microsoft.com/fwlink/?LinkId=102299 címen olvashatók. (Előfordulhat, hogy a lap angol nyelven jelenik meg.)

Saját rendszerében a szervezet biztonsági előírásainak leginkább megfelelő biztonsági szintet válassza:

  • One-way CHAP authentication. Ezen a biztonsági szinten csak a tároló hitelesíti a kezdeményezőt. Csak a tároló számára kell titkot megadni, és a tárolót elérni szándékozó kezdeményezők mindegyikének ugyanazt a titkot kell használni a bejelentkezési munkamenetek létesítéséhez.

  • Mutual CHAP authentication. A tároló és a kezdeményező hitelesítik egymást. Ekkor külön titkot kell megadni a tárolóhálózat minden tárolója és kezdeményezője számára.

  • IPsec. Az IPsec biztonsági szinten az adatátvitelhez tartozó IP-csomagok mindegyike titkosított és hitelesítendő. Az IP-kapukon egy közös kulcsot kell beállítani, mely lehetővé teszi a felek számára, hogy hitelesítsék egymást, és egyeztessék a csomagtitkosítás módját. További információkért olvassa el az IPsec ismertetését (https://go.microsoft.com/fwlink/?linkid=93520– előfordulhat, hogy a lap angol nyelven jelenik meg).

Figyelem!

Legalább az egyirányú CHAP-hitelesítést állítsa be az iSCSI-kezdeményezők és -tárolók között.

Megjegyzés

A tárolóalrendszerekben beállítható biztonsági szint a hardvergyártóktól függ. Nem minden alrendszer támogatja az összes iSCSI-biztonsági szintet. A támogatott biztonsági szintekről a hardvergyártónál tájékozódhat.

Az iSCSI protokollal kapcsolatban további tájékoztatást a https://go.microsoft.com/fwlink/?LinkId=93543 címen talál (előfordulhat, hogy a lap angol nyelven jelenik meg).

A tagság a Rendszergazdák vagy ennek megfelelő csoportban minimális követelmény a művelet elvégzéséhez. A megfelelő fiók- és csoporttagság-használatról lásd: https://go.microsoft.com/fwlink/?LinkId=83477.

Az iSCSI-biztonság kezelése
  1. Kattintson a konzolfa Logikai egységek kezelése elemére.

  2. Kattintson a Műveletek ablaktáblában az iSCSI-biztonság kezelése elemre.

  3. Az egyirányú CHAP-hitelesítés beállításához az iSCSI-biztonság kezelése párbeszédpanel Tárolók lapján adja meg a következő beállításokat:

    1. Ha minden tárolóhoz külön CHAP-titkot szeretne beállítani, a tárolók listájában jelöljön ki egy tárolót, melyhez CHAP-titkot kíván rendelni, és kattintson a Titok beállítása gombra.

      vagy

      Ha ugyanazt a CHAP-titkot kívánja beállítani minden tárolóhoz, jelölje ki az összes tárolót a listában, és kattintson a Titok beállítása gombra.

    2. A Titok beállítása párbeszédpanelen írja be a tároló(k) CHAP-titkát az erre szolgáló mezőbe, illetve a titok ellenőrzésére szolgáló mezőbe is.

    3. A Titok mentése a helyi kezdeményezőn jelölőnégyzetet bejelölve automatikusan eljuttathatja az új titkot a helyi kezdeményezőnek.

    4. Az új titok érvénybe léptetéséhez kattintson az OK gombra.

  4. A kölcsönös CHAP-hitelesítés beállításához előbb a 3. lépésben írtak szerint be kell állítania az egyirányú CHAP-hitelesítést. Ezt követően a Helyi kezdeményező lapon adja meg a következő beállításokat:

    1. Írja be a helyi kezdeményező CHAP-titkát az erre szolgáló mezőbe, illetve a titok ellenőrzésére szolgáló mezőbe is.

    2. Kölcsönös CHAP-hitelesítés esetén a kezdeményező csak a titkát ismerő tárolókra tud bejelentkezni. A kezdeményezői titoknak a kiszolgáló által elérendő tárolókkal való megosztásához a tárolók listájában jelölje ki a kezdeményezővel hitelesítendő tárolókat.

    3. A helyi kezdeményező új titkának beállításához, és az új titoknak a kijelölt tárolókkal való megosztásához kattintson a Titok alkalmazása gombra.

  5. Az IPsec protokoll használatának beállításához az iSCSI-biztonság kezelése párbeszédpanel Kapuk lapján adja meg a következő beállításokat:

    1. Ha különböző IPSec-kulcsokat kíván használni az egyes kapukon, jelöljön ki egy kaput a listában, és kattintson az IPSec-kulcs beállítása gombra.

      - vagy -

      Ha egy kapucsoporton ugyanazt az IPSec-kulcsot szeretné használni, jelölje ki a csoportba tartozó kapukat a listában, és kattintson az IPSec-kulcs beállítása gombra.

    2. Az IPSec-kulcs beállítása párbeszédpanelen írja be az új IPSec-kulcsot az erre és az ellenőrzésre szolgáló mezőbe is.

    3. Az IPSec-kulcs mentése a helyi kezdeményezőn jelölőnégyzetet bejelölve automatikusan eljuttathatja az új kulcsot a helyi kezdeményezőnek.

    4. Az új IPSec-kulcs érvénybe léptetéséhez kattintson az OK gombra.

  6. Ha végzett az iSCSI-biztonság beállításával, kattintson a Bezárás gombra.