A Tárolóhálózati tárkezelő az iSCSI-biztonság több szintjét is támogatja. Az alapfokú szintet a CHAP protokoll jelenti. A CHAP egy kapcsolat feleinek hitelesítésére szolgáló protokoll, és a felek közti titok megosztásán alapul. A titok egy jelszóhoz hasonló titkos kulcs. Az IP-biztonságként is ismert IPsec protokoll az IP-csomagok szintjén valósítja meg a hitelesítést és az adattitkosítást, ami tovább fokozza a biztonságot.
Fontos! | |
A szolgáltatás lehetővé teszi, hogy az iSCI-konfigurációhoz és -felügyelethez kapcsolódó feladatoknak csak egy kijelölt részét hajtsa végre. Ezek, illetve más egyéb feladatok is elvégezhetők a Microsoft iSCSI-kezdeményező segítségével, amely a Windows Server 2008 felügyeleti eszközeinek a része. Emellett a hálózati és tárolási megoldásokat kínáló gyártók is biztosítanak hasonló eszközöket az iSCSI-konfigurálási és -felügyeleti feladatok végrehajtásához. Az iSCSI szolgáltatással kapcsolatos további tudnivalók a |
Saját rendszerében a szervezet biztonsági előírásainak leginkább megfelelő biztonsági szintet válassza:
-
One-way CHAP authentication. Ezen a biztonsági szinten csak a tároló hitelesíti a kezdeményezőt. Csak a tároló számára kell titkot megadni, és a tárolót elérni szándékozó kezdeményezők mindegyikének ugyanazt a titkot kell használni a bejelentkezési munkamenetek létesítéséhez.
-
Mutual CHAP authentication. A tároló és a kezdeményező hitelesítik egymást. Ekkor külön titkot kell megadni a tárolóhálózat minden tárolója és kezdeményezője számára.
-
IPsec. Az IPsec biztonsági szinten az adatátvitelhez tartozó IP-csomagok mindegyike titkosított és hitelesítendő. Az IP-kapukon egy közös kulcsot kell beállítani, mely lehetővé teszi a felek számára, hogy hitelesítsék egymást, és egyeztessék a csomagtitkosítás módját. További információkért olvassa el az IPsec ismertetését (
https://go.microsoft.com/fwlink/?linkid=93520 – előfordulhat, hogy a lap angol nyelven jelenik meg).
Figyelem! | |
Legalább az egyirányú CHAP-hitelesítést állítsa be az iSCSI-kezdeményezők és -tárolók között. |
Megjegyzés | |
A tárolóalrendszerekben beállítható biztonsági szint a hardvergyártóktól függ. Nem minden alrendszer támogatja az összes iSCSI-biztonsági szintet. A támogatott biztonsági szintekről a hardvergyártónál tájékozódhat. |
Az iSCSI protokollal kapcsolatban további tájékoztatást a
A tagság a Rendszergazdák vagy ennek megfelelő csoportban minimális követelmény a művelet elvégzéséhez. A megfelelő fiók- és csoporttagság-használatról lásd:
Az iSCSI-biztonság kezelése |
Kattintson a konzolfa Logikai egységek kezelése elemére.
Kattintson a Műveletek ablaktáblában az iSCSI-biztonság kezelése elemre.
Az egyirányú CHAP-hitelesítés beállításához az iSCSI-biztonság kezelése párbeszédpanel Tárolók lapján adja meg a következő beállításokat:
-
Ha minden tárolóhoz külön CHAP-titkot szeretne beállítani, a tárolók listájában jelöljön ki egy tárolót, melyhez CHAP-titkot kíván rendelni, és kattintson a Titok beállítása gombra.
vagy
Ha ugyanazt a CHAP-titkot kívánja beállítani minden tárolóhoz, jelölje ki az összes tárolót a listában, és kattintson a Titok beállítása gombra.
-
A Titok beállítása párbeszédpanelen írja be a tároló(k) CHAP-titkát az erre szolgáló mezőbe, illetve a titok ellenőrzésére szolgáló mezőbe is.
-
A Titok mentése a helyi kezdeményezőn jelölőnégyzetet bejelölve automatikusan eljuttathatja az új titkot a helyi kezdeményezőnek.
-
Az új titok érvénybe léptetéséhez kattintson az OK gombra.
-
Ha minden tárolóhoz külön CHAP-titkot szeretne beállítani, a tárolók listájában jelöljön ki egy tárolót, melyhez CHAP-titkot kíván rendelni, és kattintson a Titok beállítása gombra.
A kölcsönös CHAP-hitelesítés beállításához előbb a 3. lépésben írtak szerint be kell állítania az egyirányú CHAP-hitelesítést. Ezt követően a Helyi kezdeményező lapon adja meg a következő beállításokat:
-
Írja be a helyi kezdeményező CHAP-titkát az erre szolgáló mezőbe, illetve a titok ellenőrzésére szolgáló mezőbe is.
-
Kölcsönös CHAP-hitelesítés esetén a kezdeményező csak a titkát ismerő tárolókra tud bejelentkezni. A kezdeményezői titoknak a kiszolgáló által elérendő tárolókkal való megosztásához a tárolók listájában jelölje ki a kezdeményezővel hitelesítendő tárolókat.
-
A helyi kezdeményező új titkának beállításához, és az új titoknak a kijelölt tárolókkal való megosztásához kattintson a Titok alkalmazása gombra.
-
Írja be a helyi kezdeményező CHAP-titkát az erre szolgáló mezőbe, illetve a titok ellenőrzésére szolgáló mezőbe is.
Az IPsec protokoll használatának beállításához az iSCSI-biztonság kezelése párbeszédpanel Kapuk lapján adja meg a következő beállításokat:
-
Ha különböző IPSec-kulcsokat kíván használni az egyes kapukon, jelöljön ki egy kaput a listában, és kattintson az IPSec-kulcs beállítása gombra.
- vagy -
Ha egy kapucsoporton ugyanazt az IPSec-kulcsot szeretné használni, jelölje ki a csoportba tartozó kapukat a listában, és kattintson az IPSec-kulcs beállítása gombra.
-
Az IPSec-kulcs beállítása párbeszédpanelen írja be az új IPSec-kulcsot az erre és az ellenőrzésre szolgáló mezőbe is.
-
Az IPSec-kulcs mentése a helyi kezdeményezőn jelölőnégyzetet bejelölve automatikusan eljuttathatja az új kulcsot a helyi kezdeményezőnek.
-
Az új IPSec-kulcs érvénybe léptetéséhez kattintson az OK gombra.
-
Ha különböző IPSec-kulcsokat kíván használni az egyes kapukon, jelöljön ki egy kaput a listában, és kattintson az IPSec-kulcs beállítása gombra.
Ha végzett az iSCSI-biztonság beállításával, kattintson a Bezárás gombra.