In Gestione archivi SAN sono disponibili diversi livelli di sicurezza iSCSI. Il livello di base utilizza CHAP (Challenge Handshake Authentication Protocol), un protocollo che consente l'autenticazione del peer di una connessione ed è basato sulla condivisione di un segreto, ovvero di una chiave di sicurezza analoga a una password, tra peer. Il protocollo IPsec (IP Security) applica l'autenticazione e la crittografia dei dati a livello di pacchetto IP, garantendo un livello aggiuntivo di sicurezza.
Importante | |
Questa funzionalità consente di eseguire un sottoinsieme selezionato delle attività relative alla configurazione e all'amministrazione di iSCSI. È inoltre possibile eseguire queste e altre attività utilizzando l'iniziatore iSCSI Microsoft, incluso negli strumenti di amministrazione di Windows Server 2008. Inoltre, i fornitori di soluzioni per l'archiviazione e per le reti offrono strumenti simili per l'esecuzione delle attività di configurazione e amministrazione di iSCSI. Per ulteriori informazioni su iSCSI, visitare il sito Web all'indirizzo |
È necessario scegliere il livello di sicurezza più appropriato in base ai criteri di sicurezza dell'organizzazione.
-
One-way CHAP authentication. Con questo livello di sicurezza, soltanto la destinazione esegue l'autenticazione dell'iniziatore. Il segreto viene impostato solo per la destinazione e tutti gli iniziatori che desiderano accedervi devono utilizzare lo stesso segreto per avviare una sessione di accesso con la destinazione.
-
Mutual CHAP authentication. Con questo livello di sicurezza, la destinazione e l'iniziatore eseguono l'autenticazione reciproca. Per ogni destinazione e ogni iniziatore della rete di archiviazione (SAN) viene impostato un segreto separato.
-
IPsec. Con questo livello di sicurezza, tutti i pacchetti IP inviati durante i trasferimenti dati vengono crittografati e autenticati. In tutti i portali IP viene impostata una chiave comune, in modo da consentire a tutti i peer di eseguire l'autenticazione reciproca e negoziare la crittografia dei pacchetti. Per ulteriori informazioni su IPsec, visitare la pagina all'indirizzo
https://go.microsoft.com/fwlink/?linkid=93520 .
Attenzione | |
Tra iniziatori e destinazioni iSCSI utilizzare almeno l'autenticazione CHAP unidirezionale. |
Nota | |
Il livello di sicurezza che è possibile impostare per un sottosistema di archiviazione dipende dal produttore dell'hardware. Non tutti i sottosistemi supportano tutti i livelli di sicurezza iSCSI. È consigliabile contattare il produttore dell'hardware per verificare il livello di sicurezza supportato. |
Per ulteriori informazioni su iSCSI, visitare il sito Web all'indirizzo
L'appartenenza al gruppo locale Administrators o equivalente, è il minimo indispensabile per completare questa procedura. Per ulteriori informazioni sull'utilizzo degli account e delle appartenenze di gruppo appropriati, vedere
Per gestire la sicurezza iSCSI |
Nell'albero della console fare clic su Gestione LUN.
Fare clic su Gestisci sicurezza iSCSI nel riquadro Azioni.
Per configurare l'autenticazione CHAP unidirezionale, nella finestra di dialogo Gestisci sicurezza iSCSI configurare le impostazioni seguenti nella scheda Destinatari:
-
Se si desidera configurare segreti CHAP diversi per destinazioni diverse, nell'elenco delle destinazioni selezionare una destinazione per cui si desidera impostare il segreto CHAP e quindi fare clic su Imposta segreto.
Oppure
Per utilizzare lo stesso segreto CHAP per un gruppo di destinazioni, selezionare le destinazioni nell'elenco e quindi fare clic su Imposta segreto.
-
Nella finestra di dialogo Imposta segreto digitare e confermare il segreto CHAP delle destinazioni.
-
Facoltativamente, selezionare Memorizza il segreto dell'iniziatore locale se si desidera passare automaticamente il nuovo segreto all'iniziatore locale.
-
Per impostare il nuovo segreto, fare clic su OK.
-
Se si desidera configurare segreti CHAP diversi per destinazioni diverse, nell'elenco delle destinazioni selezionare una destinazione per cui si desidera impostare il segreto CHAP e quindi fare clic su Imposta segreto.
Per configurare l'autenticazione CHAP reciproca, è innanzitutto necessario configurare l'autenticazione CHAP unidirezionale eseguendo il passaggio 3. Immettere quindi la configurazione seguente nella scheda Iniziatore locale:
-
Digitare e confermare il segreto CHAP per l'iniziatore locale.
-
Con l'autenticazione CHAP reciproca, l'iniziatore potrà accedere soltanto alle destinazioni che conoscono il segreto dell'iniziatore. Per condividere il segreto dell'iniziatore con le destinazioni a cui il server deve accedere, nell'elenco delle destinazioni selezionare ogni destinazione di cui si desidera eseguire l'autenticazione nell'iniziatore.
-
Per impostare il nuovo segreto per l'iniziatore locale e condividerlo con le destinazioni selezionate, fare clic su Applica segreto.
-
Digitare e confermare il segreto CHAP per l'iniziatore locale.
Per configurare IPsec, nella finestra di dialogo Gestisci sicurezza iSCSI configurare le impostazioni seguenti nella scheda Portali:
-
Se si desidera utilizzare chiavi IPsec diverse per portali diversi, nell'elenco dei portali selezionare un portale e fare clic su Imposta chiave IPsec.
Oppure
Per utilizzare la stessa chiave IPsec per un gruppo di portali, selezionare i portali nell'elenco e quindi fare clic su Imposta chiave IPsec.
-
Nella finestra di dialogo Imposta chiave IPsec digitare e confermare una nuova chiave IPsec.
-
Facoltativamente, selezionare Memorizza la chiave IPsec dell'iniziatore locale se si desidera passare automaticamente la nuova chiave all'iniziatore locale.
-
Per impostare la nuova chiave IPsec, fare clic su OK.
-
Se si desidera utilizzare chiavi IPsec diverse per portali diversi, nell'elenco dei portali selezionare un portale e fare clic su Imposta chiave IPsec.
Al termine della configurazione della sicurezza iSCSI, fare clic su Chiudi.